Teil 1: VerSAMLung – Microsoft Azure SSO am Citrix ADC mit SAML

(von Stefan Kuscher und Benjamin Rodewald)

Im Nachfolgenden erläutern wir die Vorteile, wenn Citrix ADC und Azure Active Directory verSAMLt sind und wie wir dies umgesetzt haben.

Folgende Vorteile ergeben sich:

  • Benutzer muss lediglich beim Anmelden am Arbeitsgerät ein Passwort eingeben (SSO) und ist somit automatisch beim Citrix ADC bekannt und bestenfalls alles was mit diesem verknüpft ist. Von dort aus kann z.B. der Zugriff auf Applikationen wie Citrix Xenapp/XenDesktop oder auch Web-Applikationen erfolgen. (Ohne zusätzliche Anmeldung)
  • Azure AD als der Zugangspunkt für Benutzer.
  • Benutzersteuerung/Berechtigungsverwaltung zentral in Azure AD.
  • Conditional Access\Begrenzter Zugriff + MFA (Azure AD P1 Lizenz)

Voraussetzungen

Ablauf

Abbildung Ablauf SAML

Das SAML Protokoll wurde geschaffen um über eine Teilung in Identity Provider (IdP) und Service Provider (SP) die Authentication für Zugriffe zu ermöglichen. Dabei kann sofern eine Applikation z.B. aus der Cloud bezogen wird, trotzdem gegen einem IdP, der unter Kontrolle des eigenen Unternehmens steht authentifiziert werden (in unserem Falle ist dieser in der Cloud als MS Azure AD ausgeprägt). Der SAML SP (AAA auf dem ADC) vertraut diesem IdP und lässt den Request beim Vorhandensein der Authentifizierungsinformationen passieren. Sind die Informationen nicht vorhanden, würde der Citrix ADC auf die Anmeldeseite des SAML IdP weiterleiten.

In unserem speziellen Fall meldet das Gerät bereits beim MS Windows Logon den Benutzer in der Cloud beim Azure AD an. Der Benutzer besitzt daher zum Zeitpunkt seines ersten Zugriffs schon die entsprechenden Anmeldeinformationen und der ADC (bzw. die AAA / SP Komponente) lässt den Benutzer mit SSO passieren.

Deployment einer Enterprise Applikation in Azure (IDP)

Um eine Kommunikation mit dem Citrix ADC via SAML herzustellen benötigt man auf der Azure Active Directory Seite eine Enterprise Applikation. Diese wird im Azure Active Directory -> Enterprise Applications -> New Application
bereitgestellt und wird benötigt um sich mit dem SP per SAML auszutauschen.

Auswählen einer Vorlage im Browse Azure AD Gallery für das Citrix SAML Add On
Microsoft bietet bereits diverse Vorlagen für Enterprise Applikationen an. In unserem Fall benötigen wir die Vorlage „Cirix ADC SAML Connector for Azure AD“.

In der Enterprise Applikation müssen die benötigten Informationen wie Identifier, Reply URL und Sign On URL des Citrix ADC hinterlegt werden.

1.) Enterprise Applikation -> Name der APP -> Single Sign-on
Identifier: https://FQDN
Reply URL: http(s)://FQDN der WebApplication/cgi/samlauth
Sign On URL: https://FQDN/CitrixAuthService/AuthService.asmx


Ebenfalls finden sich dort die Informationen die der Citrix ADC im späteren Verlauf benötigt z.B. die Login URL von Azure Active Directory oder die Metadaten URL.

2.) Mittels Metadaten URL kann der Austausch der Informationen zwischen AAD und ADC automatisch erfolgen. Voraussetzung hierfür ist dass die Version des CItrix ADC den Austausch via Metadaten bereits unterstützt.

3.) Falls ein Austausch via Metadaten nicht in Frage kommt ,können die Informationen auch manuell dem Citrix ADC übergeben werden (Login URL, Zertifikat…).

Screenshot aus dem Citrix ADC SAML Connector

Berechtigungskontrolle für die Enterprise Applikation

Im Anschluss müssen die Benutzer noch die Berechtigungen erhalten, um die Enterprise Applikation nutzen zu können. In unserem Fall stellen wir die Applikation für alle Benutzer zur Verfügung. Wir deaktivieren somit die Zuweisung für einzelne Benutzer komplett:

Assignment required = No

Screenshot Zuweisung einzelner Gruppen und Nutzer
Falls eine Zuweisung an einzelne Benutzer erwünscht ist, einfach „Assignment required“ auf „Yes“ umstellen (Standardeinstellung) und die Zuweisung für Benutzer unter „Users and Groups“ durchführen.

Konfiguration des AAA Servers / SAML SPs auf dem ADC

Um eine Applikation auf dem Netscaler mit einer Preauthentication zu schützen, kommt die AAA Funktion zum Einsatz. Hierfür wird ein AAA Virtual Server Objekt angelegt, welches in der SAML Welt gleichzeitig den SAML Service Provider (SP) darstellt, der in unserem Fall dem Microsoft Azure Identity Provider (IdP) vertraut. Um für eine Web Applikation die Anmeldung am AAA bzw. dem SAML IdP zu erzwingen, wird der AAA Vserver auf dem enstprechenden Load Balancer oder Content Switch Objekt über die „Authentication“ Registerkarte verknüpft.

Anlage des AAA Virtual Servers

Screenshot  Anlage des AAA im Authentication Virtual Servers
add authentication vserver aaademo SSL 0.0.0.0

Ein SSL Zertifikat muss gebunden werden, auch wenn der AAA Vserver nicht direkt angesprochen wird.

bind ssl vserver aaademo -certkeyName AAA_test
bind ssl vserver aaademo -eccCurveName P_256
bind ssl vserver aaademo -eccCurveName P_384
bind ssl vserver aaademo -eccCurveName P_224
bind ssl vserver aaademo -eccCurveName P_521

Screenshot SSL Virtual Server Server Certificate Binding

SAML SP Server

Falls der Import der Metadaten nicht funktioniert, können die Daten auch aus dem XML extrahiert werden und manuell hinterlegt werden. Das IdP Zertifikat lässt sich auf der Azure Enterprise Appliacation im Azure Portal exportieren (Base64 bietet sich an).

Screenshot mögliche Konfiguration aus dem Configure Authentication SAML Server
add authentication samlAction AzureSSOHapp-SAMLServer -samlIdPCertName ADC-SAML-Connector -samlRedirectUrl "https://login.microsoftonline.com/hjh38a6db-dff55533-b857-173179e558d/saml2" -samlIssuerName "https://vipdemo.michael-wessel.de" -logoutURL "https://login.microsoftonline.com/fgfgf7667fg-154e-4e33-b857-17317fgfg/saml2"

SAML SP Policy

Screenshot Configure Authentication Policy
add authentication Policy pol_AzureSSOHapp -rule true -action AzureSSOHapp-SAMLServer

Die erstellte SAML SP Policy muss dann an den AAA Virtual Server / SAML SP gebunden werden und der AAA Virtual Server auf der Registerkarte „Authentication“ des Load Balancers oder Content Switches verknüpft werden. Auf ADCs mit einer aktuellen Firmware haben sich zudem die Defaults für die Athorization geändert, so dass eine pasende Authorization Policy anzulegen ist.

Ausblick

Mit dem Vorliegen der Anmeldeinformationen kann auf dem Netscaler auch eine detaillierte Berechtigung auf bestimmte URLs anhand von z.B. Gruppenmitgliedschaften über Authorization Policies erfolgen.

Außerdem ist es möglich authentifizierte Benutzer z.B. per SAML oder KCD an Servern hinter der Pre-Authentication automatisch anzumelden.

Im MS Azure sind umfangreiche Möglichkeiten der Multi Faktor Authentifizierung und des Conditional Access möglich.

Mehr zu diesen und anderen Möglichkeiten werden sie in den weiteren Artikeln unserer Serie „verSAMLt“ lesen.

How To: Performanceanalysen

Möglicherweise kennt man noch die Sanduhr, den Ladebalken oder einfach eingefrorene Sitzungen in Citrix- oder Microsoft-RDP-Umgebungen. Das muss aber nicht sein. Lange Ladezeiten und hohe Latenzen bei der Datenübertragung können Anzeichen für ein unperformantes Netzwerk sein. Der Grund dafür muss nicht immer an einer zu hohen Auslastung der Hardware liegen. Von verschmutzten Lichtwellenleitern, gebrochenen Kupferkabeln zu Netzwerkloops über falsch konfigurierte Routen bis hin zum unbemerkten Ausfall einzelner Komponenten ist alles dabei. Auch Unstimmigkeiten im Verhalten der Virtualisierungs-Umgebung auf Basis von VMware vSphere oder Microsofts HyperV sowie Engpässen im SAN oder an zentralen / dezentralen Speichersystemen können so lokalisiert, eingegrenzt und entschärft werden. Um diesem meist unübersichtlichen, ggf. langwierigen Troubleshooting eine Struktur zu geben, hat sich bei der michael wessel ein Standardvorgehen etabliert. Davon profitieren Sie als Auftraggeber vor allem durch Struktur, Transparenz und eine Vergleichbarkeit der Ergebnisse.

Wer nicht neugierig ist, erfährt nichts.

 Johann Wolfgang von Goethe

Ablauf einer Performanceanalyse

Wie läuft so etwas ab? Um unnötige Aufwände zu vermeiden, wird sich zuerst auf die bestehende Dokumentation und die problembehaftete Verbindung konzentriert. Daraus und ggf. weiterer Hintergrundrecherche werden gemeinsam individuelle Testszenarien aufgestellt und eine Abgrenzung zu angrenzenden Themen geschaffen, um im gesamten Vorgehen durchgehende Transparenz gewährleisten zu können.

Wir messen im Anschluss die Performance Ihres Netzwerkes und analysieren die Gegebenheiten, um Ihnen im Nachgang eine fundierte Handlungsempfehlung vorzustellen. Die Handlungsempfehlung erhalten Sie, begleitet durch Erläuterung im Abschlussgespräch, in digitaler Form.

Ablauf einer Performanceanalyse

Definieren von Testszenarien

Gemeinsam definieren wir Strecken, auf welchen die Performance spürbar eingeschränkt ist oder auf der es zu sporadischen Leistungseinbrüchen kommt. Diese Strecken werden in einem Aufnahmegespräch immer weiter analysiert, die eingesetzten Anwendungen und deren Eigenheiten bedacht und in einem Testszenario oder sofern zielführend mehreren Testszenarien zum Schaffen einer Vergleichbarkeit zusammengefasst.

Schaffen von Abgrenzungen

Wer einen klaren Blick auf die eigentliche technische Herausforderung benötigt, muss Inhalte und Verhaltensweisen abgrenzen können. Deshalb ist die Abgrenzung von technischen wie inhaltlichen Themen fester Bestandteil des Analyseprozesses. Man kennt es aus der Tierwelt – ein Turmfalke im Anflug auf die Beute zählt auch nicht die Wolken und Blätter an den Bäumen um ihn herum, er fokussiert seine Beute, blendet alles irrelevante aus, schärft seine Sinne. Nur, dass in diesem Fall die Infrastruktur fokussiert wird.

Transparenz im Vorgehen

Im Fokus der Analyse steht die Transparenz der geplanten Szenarien und eingesetzten Tools. Diese werden gemeinsam abgestimmt und zur Bestätigung von beiden Seiten vor Beginn jeder Messung oder eines Belastungstests unterzeichnet. Somit wird eine detaillierte Analyse nicht zum allumfassenden Infrastruktur-Review, sondern bleibt fokussiert. Wie der Turmfalke auf der Jagd. Jederzeit nachvollziehbar, mit höchster Konzentration.

Durchführung der Performance-Messung

Im Anschluss der Definition von Testszenarien und der eindeutigen Abgrenzung wird die Performance-Messung selbst durchgeführt. Im Idealfall kann anhand der gewonnenen Daten bereits jetzt eingegrenzt werden, an welcher Stelle im Netzwerk sich der Flaschenhals befindet. Sollte die Messung noch nicht zielführend gewesen sein, können zusätzlich weitere Auswertungen zu Statistiken, Logs und weiteren Parametern stattfinden. In diesem Zuge werden auch Konfigurationsunstimmigkeiten und weitere Möglichkeiten zur Performance-Optimierung aufgedeckt. Dies bedeutet meist einen deutlich geringen Aufwand im Vergleich zu einer möglicherweise nicht notwendigen Neuanschaffung der Hardware und schafft zusätzliche Transparenz im eigenen Netz, was wiederum künftiges Troubleshooting erheblich vereinfacht.

Nach Definition von Testszenarien beginnt die eigentliche Messdatengewinnung zur tiefergehenden Analyse

Auswertung der Ergebnisse

Die Auswertung der gesammelten Ergebnisse wird im Nachgang durchgeführt. Um falsche Schlussfolgerungen aufgrund eines ungewöhnlichen Verhaltens vorzubeugen, werden mehrere Fachkollegen mit einbezogen. Die Erstellung der aufbereiteten Handlungsempfehlung erfolgt stets mindestens im Vier-Augen-Prinzip und wird erst nach Review zur Veröffentlichung freigegeben.

Handlungsempfehlung und Abschlussgespräch

Daraus ergibt sich eine Handlungsempfehlung, die zum Abschluss gemeinsam besprochen wird und wo konkrete Möglichkeiten zur Verbesserung aufgezeigt werden. Oftmals bewirken schon geringe Konfigurations- oder Designänderungen die ersten spürbaren Verbesserungen, auch der Tausch von Kabeln und Transceivern kann manchmal wahre Wunder wirken.

Nur eine nachvollziehbare Handlungsempfehlung ist eine gute Handlungsempfehlung. Darum besprechen wir die Ergebnisse und die daraus abgeleiteten Empfehlungen ausführlich mit Ihnen.

Ein möglicher Handlungsschritt bei z.B: unnötig großen Netzen wäre unter anderem die Minimierung von Broadcastdomänen. Auch ein verlässliches Spanning-Tree-Konzept sowie dessen Umsetzung können die Netzwerkperformance und -stabilität erhöhen. Des Weiteren kann durch die Optimierung einzelner Verbindungen und das auflösen von Netzwerkkaskaden die Produktivität in Ihrem Unternehmen gesteigert werden.

Bei Bedarf kann neben dem Netzwerk auch die Server- und Storage-Performance, sogar Wireless-Infrastrukturen geprüft werden. Für die Analyse von drahtlosen Infrastrukturen liegt aufgrund der hohen Komplexität der möglichen Störquellen genormtes Testequipment und ungeahntes, im Kopf schlummerndes Know How unserer Wireless-Experten parat. Weitere Informationen zu WLAN-Ausleuchtungen finden Sie hier.

… und dann?

In möglichen Folgeprojekten können Sie natürlich auch auf unsere Expertise setzen. Von punktuellem Troubleshooting in der Tiefe, der Durchführung von Infrastrukturmodernisierungen oder der Entwicklung einer Cloud- oder einer Digitalstrategie bietet sich ein weites Themen-Spektrum bei fachlicher Tiefe im Hause der michael wessel. Sie beherrschen Ihr Business, wir unseres.

Impulse für die (Neu-) Ausrichtung Ihrer IT – Let´s talk about IT

Die vergangenen Monate waren vor allem von der Reaktion auf ein sich sehr schnell veränderndes Umfeld geprägt, das strategische Planungen nahezu unmöglich gemacht hat. Das Format dieser Ausgabe unterscheidet sich etwas von den Dialogen der vorangegangenen Podcasts. Unsere vier Experten aus den Bereichen Account Management, Consulting, Kundenbetreuung Mittelstand und Protection & Security beleuchten zahlreiche Themen, die Impulse für eine strategische Neuausrichtung der eigenen IT sein können.

avatar
Phil Marx
avatar
Christian Blaue
avatar
Thomas Schaper

Unser beliebter Podcast „Let´s talk about IT“ kehrt zurück – als interessanter Expertentalk auf YouTube.

Moderiert von Christian Blaue (Teamleiter Regional Account Management) arbeiten Patrick Kern (Teamleiter Consulting), Phil Marx (Teamleiter Kundenbetreuung Mittelstand) und Thomas Schaper (Teamleiter Protection & Security) die Herausforderungen der vergangenen 18 Monate auf.

Dieser Zeitraum war vor allem von der Reaktion auf ein sich sehr schnell veränderndes Umfeld geprägt, das strategische Planungen stark erschwert hat. Nachdem wir nun in einer Phase des Übergangs zur Normalität sind, können diese Überlegungen aber wieder in den Vordergrund treten. Unsere Experten beleuchten in ihrem Talk verschiedene Themenbereiche, die hierfür als Denkanstöße dienen können.

Dabei wurden von den Bereichen Home Office und „New Work“ über moderne Cloudstrukturen und Security-Aspekte bis hin zu Formen zukünftiger Arbeitsmodelle zahlreiche Themen behandelt, die bei einer zielgerichteten Neuorientierung unbedingt mitgedacht werden sollten. An Beispielen wird dargelegt, welche Lösungen verschiedene Organisationen für Ihre Herausforderungen gefunden haben, welche Chancen sich derzeit auch bieten und welche Vorteile der intelligente Einsatz moderner IT-Systeme für kleinere und größere Umgebungen bringt.

Wir hoffen, dass wir mit unserem neuen Format einige Impulse und Hilfestellungen bieten können und wünschen gute Unterhaltung beim Schauen des Videos!

VMware vSphere 7.0U2 verliert Zugriff auf SD-Karten

Beim Betrieb von vSphere 7 Update 2 auf einer SD-Karte kann es unter Umständen dazu kommen, dass das Betriebssystem den Zugriff auf selbige verliert und der ESXi-Host einfach einfriert.

Problem

Hierbei stehen durch den Verlust des Zugriffs auf die SD-Karte die Systempartitionen nicht mehr zur Verfügung. Dadurch wird es unmöglich, die VMs zu verwalten. Laufende VMs sind zwar weiterhin funktional, können aber nicht mehr herunter- und hochgefahren oder auf einen anderen Host migriert werden.

Die CPU-Last des ESXi-Hosts steigt kontinuierlich an, so dass schlussendlich die Leistung und nach einiger Zeit auch die Funktionalität der VMs betroffen ist. Eine Evakuierung (z.B. durch den Wartungsmodus) ist nicht möglich, es bleibt lediglich ein harter Reset als letzte Option. Ist in der Umgebung ein vCenter mit aktivem HA vorhanden, werden die VMs anschließend auf einem anderen Host neu gestartet.

Workaround

Aktuell gibt es nur einen temporären Workaround. Dieser setzt Kenntnisse und Zugriff auf die Konsole des ESXi-Hosts voraus:

Das Ausführen von

esxcfg-rescan -d vmhba32

führt dazu, dass tote Pfade zur SD-Karte verworfen werden und das Gerät erneut gescannt wird. Der Befehl muss unter Umständen mehrfach in einem Abstand von mehreren Minuten ausgeführt werden, solange bis keine Fehler mehr auftreten.

Nach einem anschließenden Neustart der Management Agents können die VMs vom Host evakuiert werden. Ein kontrollierter Reboot des Hosts ist nun möglich.

Der Verbindungsverlust zur SD-Karte tritt nach 24 bis 48 Stunden erneut auf und das Prozedere beginnt von vorn.

Lösung

Eine Lösung mittels eines Updates oder Patches ist bisher noch nicht gegeben. VMware hat die Behebung des Problems für einen zukünftigen Patch angekündigt. Ein konkretes Release-Datum gibt es bisher nicht.

„VMware engineering has a fix that will be in the next release of 7.02 P03 which is planned for sometime in July 2021.“

VMware,

Sichere Abhilfe schafft momentan nur ein Downgrade (sofern möglich) oder die Neuinstallation des ESXi-Hosts mit vSphere 7.0U1.

Der Betrieb von vSphere 7.0U2 auf internen SSD- oder HDD-Medien ist problemlos möglich.

Update

Patch 7.02 P03 wurde zwischenzeitlich veröffentlich, konnte das Problem allerdings nicht beheben.
Die Lösung wird mit Version 7.0U3 erwartet. Eine offizielle Bestätigung seitens des Herstellers fehlt hierzu allerdings noch.

Unterstützung gewünscht?

Sie benötigen Unterstützung oder Beratung in diesem oder anderen Themen? Wir unterstützen gerne.

Weiterführende Informationen zum Thema Servervirtualisierung gibt es hier.

Quellen

Problem: https://kb.vmware.com/s/article/83963

Workaround: https://communities.vmware.com/t5/ESXi-Discussions/SD-Boot-issue-Solution-in-7-x/td-p/2852027

Sophos Firewall zur Abwehr von Ransomware

Cyberkriminelle scannen Netzwerke mittlerweile genau so professionell wie Penetration-Tester nach potentiellen Schwachstellen und Angriffspunkten. Angriffe werden immer raffinierter und effizienter: Hacker nutzen Sicherheitslücken in Netzwerken und Systemen aus – und die Unternehmen bleiben auf dem Schaden sitzen. In Deutschland betragen die Kosten im Durchschnitten 420.000 EUR. Deshalb müssen Firmen und öffentliche Einrichtungen ihre IT-Security-Strategien und -Verteidigungslinien immer wieder neu überdenken und anpassen. In der aktuellen Studie der Sophos Labs „The State of Ransomware 2020“ gaben die Hälfte der befragten Unternehmen in 26 Ländern an, im vergangenen Jahr Opfer von Ransomware geworden zu sein.

„Wenn Sie im Netz nach dem Schlagwort „Ransomware-Angriffe“ suchen, werden Sie jede Woche neue Meldungen zu erfolgreichen Angriffen finden“, so der Sales Engineer und Firewall-Experte Björn Zackenfels (Sophos). „Zuletzt hat der Kaseya Angriff gezeigt, wie verheerend die Auswirkungen sind. Und wir sprechen hier nicht nur von horrenden Lösegeldforderungen, sondern auch Reputations- und vor allem Datenverlust.“

Firewall- und Endpoint-Security können dafür sorgen, dass Angriffe gar nicht erst in Unternehmensnetzwerke gelangen. Dafür müssen diese allerdings dem aktuellen Stand der Technik entsprechen. Sophos bietet die ultimative IT-Security-Lösung zur Abwehr neuester Ransomware. Im April 2021 wurden die neuen Sophos Firewall XGS-Appliances gelauncht: Mit Cloud-Sandboxing-Technologie und Machine-Learning-Analyse von Dateien verhindert die Sophos Firewall, dass bekannte und unbekannte Ransomware-Varianten, Exploits und Malware sich über Spam, Phishing oder Web-Downloads verbreiten. „Außerdem bietet die Sophos Firewall mit den XGS-Appliances durch ihre Hardware-Beschleunigung eine noch schnellere und leistungsstärkere Xstream TLS 1.3 Inspection mit flexiblen Richtlinienkontrollen. Sophos Kunden erhalten dadurch eine optimale Balance zwischen Sicherheit und Performance,“ erklärt Björn Zackenfels. Weitere Informationen zur Sophos Firewall finden Sie hier.

Aruba AOS-CX: Patches für mehrere Schwachstellen veröffentlicht

Der Hersteller HPE hat für die Produkte der Aruba-Sparte Mitte dieser Woche mehrere Updates für kabelgebundene Switch-Produkte mit AOS-CX veröffentlicht. Diese schließen mehrere Sicherheitslücken. Wir haben Ihnen hier die Wichtigsten Informationen zusammengefasst.

Um welche Sicherheitslücken handelt es sich?

In den Patches werden insgesamt vier Schwachstellen betitelt.

  • SAD DNS Vulnerability (CVE-2020-25705)
  • Remote Code Execution Via External Storage (CVE-2021-29143)
  • PHY Firmware Local Bypass Security Restrictions (CVE-2021-29149)
  • Path-relative Stylesheet Import (PRSSI) (CVE-2021-29148)

Bei der Schwachstelle SAD handelt es sich um einen Bug, der sich auf die Art und Weise, wie Antworten von ICMP-Paketen im Linux-Kernel behandelt werden. Dieser kann ausgenutzt werden um ein sogenanntes DNS Cache-Poisoning durchzuführen. Dabei kann eine Domain (zb. www.google.de) auf eine andere IP-Adresse weitergeleitet werden und ermöglicht potentiellen Angreifern so, bekannte Domains auf selbst erstellte oder kompromittierte Sites weiterzuleiten.

Für die zweite und dritte Sicherheitslücke werden administrative Zugangsdaten benötigt, weshalb diese hier nicht weiter erläutert werden.

Die letzte PRSSI-Schwachstelle bezieht sich auf eine Schwachstelle in der Web-GUI der Geräte. Aufgrund der Konfiguration der webbasierten Verwaltungsoberfläche können relative URLs innerhalb von HTML-Seiten das falsche Ziel weitergeben. Dadurch wird möglicherweise die angezeigte Benutzeroberfläche (UI) verändert und man könnte auf bösartige Webseiten geleitet werden.

Sind die Geräte in meinem Unternehmen betroffen?

Die Switche aus der Aruba 8400/8360/8325/8320 und Aruba 6400/6300/6200F Serie mit den unten stehenden Firmware-Ständen sollten umgehend auf einen aktuellsten Stand gebracht werden.

Betroffene Firmware Versionen von AOS-CX:

  • 10.04.xxxx – Versionen vor 10.04.3070
  • 10.05.xxxx – Versionen vor 10.05.0070
  • 10.06.xxxx – Versionen vor 10.06.0110
  • 10.07.xxxx – Versionen vor 10.07.0001

Was kann ich tun wenn ich betroffen bin?

Schnellstmöglich sollte auf eine aktuelle Firmware Version aktualisiert werden. Die Versionen, welche entsprechende Fixes mit sich bringen sind:

  • 10.05.0070 und höher
  • 10.06.0110 und höher
  • 10.07.0001 und höher

Achtung!

Betroffene Aruba-Produkte mit einer 10.04.xxxx Firmware Version müssen auf 10.05.0070 aktualisiert werden, um alle Schwachstellen zu beheben.

Benötigen Sie Unterstützung bei der Prüfung oder Umsetzung der Firmware-Updates? Ist Ihre Umgebung nicht mehr leistungsstark genug oder sind einfach Ihre Anforderungen gewachsen? Sprechen Sie uns an, wir helfen Ihnen gerne.

Weitere Informationen zu den Sicherheitslücken finden Sie auf der Herstellerseite unter:

https://www.arubanetworks.com/support-services/security-bulletins/

Sophos revolutioniert IT-Sicherheit mit offenem Ökosystem

Um den immer komplexeren und gezielteren Cyberattacken die Stirn bieten zu können, müssen IT-Sicherheitsunternehmen auf Teamwork und neueste Technologien setzen. Sophos trägt dieser Entwicklung mit seinem Adaptive Cybersecurity Ecosystem (ACE) Rechnung. Hierbei handelt es sich um eine neue, offene Sicherheitsarchitektur zur Optimierung von Threat Prevention, Detection und Response. Sophos ACE nutzt Automatisierung und Analysen sowie den kollektiven Input von Sophos-Produkten, -Partnern, -Kunden sowie Entwicklern und anderen Security-Anbietern. So schafft diese Architektur einen Schutz, der ständig dazu lernt und sich weiterentwickelt.

„Sophos bietet unseren Kunden die branchenweit umfassendste Suite hocheffektiver, KI-basierter, cloudnativer Cybersecurity-Lösungen für Endpoints, Daten und Netzwerke“, erklärt Stefan Fritz (Channel Account Executive, Sophos). „Über eine zentrale Verwaltungsplattform arbeiten die Produkte von Sophos als synchronisiertes System zusammen.“

IT-Sicherheit ist zurzeit eines der Topthemen in jedem Unternehmen, egal ob groß oder klein. Entscheidend für die effektive Absicherung ist eine umfassende Expertise sowie die Erstellung eines individuellen IT-Security-Konzepts – und genau hier kommen Partner wie michael wessel ins Spiel. „Wir bei Sophos sind der festen Überzeugung, dass IT-Sicherheit erfolgreich nur im Teamwork realisiert werden kann“, verdeutlicht Stefan Fritz. „Unsere Partner sind der entscheidende Baustein als regionaler Anbieter vor Ort und leisten dort einen Service, den wir als internationaler Hersteller in diesem Umfang nicht alleine umsetzen könnten. Deshalb ist für uns die Zusammenarbeit mit regional etablierten Systemhäusern wie michael wessel von entscheidender Bedeutung und wir setzen alles daran, diese Partner bestmöglich zu unterstützen, damit sie ihren Kunden zukunftsfähige IT-Sicherheit aus einer Hand anbieten können.“

Michael Wessel, Geschäftsführer der michael wessel Informationstechnologie GmbH, bekräftigt: „Als innovativer wie auch bodenständiger IT-Security Anbieter setzen wir bei unseren Kunden in Mittelstand, öffentlichem Sektor und international tätigen Konzernen sowohl standardisierte als auch hochgradig individuell konzipierte Systeme ein.
Unser Partner Sophos bietet uns hierzu ein breites Lösungsspektrum. Bei der Integration von u.a. Edge-VPN, zentralen Firewall-Systemen und hochintegrierten, individuellen Security-Umgebungen arbeiten wir seit Jahren erfolgreich auf Augenhöhe zusammen, um unseren Kunden stets die optimale Lösung zu bieten.“

Wie nutzt michael wessel SD-WAN, um die Netzwerkumgebung eines Kunden zu optimieren?

Die Ausgangssituation: Die ca. 150 Nutzer des Kunden sind auf 7 Filialen verteilt und arbeiten in Terminal-Umgebungen auf Thin-Clients. Diese greifen auf ein zentrales Rechenzentrum zu, in dem alle Anwendungen gehostet werden. Da eine hohe Verfügbarkeit der Daten an allen Standorten für einen reibungslosen Arbeitsablauf essenziell ist, sind diese jeweils einzeln per MPLS an das Rechenzentrum angeschlossen.

Die Herausforderungen: Diese Struktur sorgt häufig für lange Antwortzeiten und eine insgesamt schwache Performance der gesamten Umgebung. Die Nutzer sind häufig unzufrieden und Arbeitsabläufe werden unnötig verzögert. Zudem entstehen durch die dedizierten MPLS-Verbindungen hohe Kosten.

Die Lösung: michael wessel führt in diese Umgebung eine intelligente und hochflexible SD-WAN-Infrastruktur ein. Statt der teuren MPLS-Verträge, erhalten die Standorte eine Kombination aus herkömmlichen Kabel- und DSL-Anschlüssen, die lediglich einen Bruchteil kosten. In jeder Filiale und auch im Rechenzentrum werden SD-WAN-Appliances eingerichtet, die in Ihrem Durchsatz den jeweiligen Anforderungen entsprechen. Kleinere Zweigstellen können so mit einem Gerät ausgestattet werden, das in der Anschaffung günstiger ist, den Nutzern aber dennoch eine optimale Bandbreite zur Verfügung stellt.

Die Vorteile: Durch die intelligente Bündelung der Anschlüsse steht dem SD-WAN eine deutlich höhere Bandbreite zur Verfügung als über MPLS. Die Redundanz der verschiedenen Leitungen stärkt dabei die Ausfallsicherheit der Verbindungen sogar noch zusätzlich. Dank der Vernetzung der einzelnen Standorte untereinander müssen zudem nicht mehr alle Daten zwangsweise über den „Flaschenhals“ Rechenzentrum laufen. Diese Maßnahmen führten zu einer deutlichen Steigerung der Performance der gesamten Umgebung und damit zu merklich zufriedeneren Nutzern.

Langfristig profitiert der Kunde mit der neuen Struktur auch erheblich von der zusätzlichen Flexibilität. Das gesamte SD-WAN wird zentral gesteuert und kann somit ohne große Aufwände an neue Gegebenheiten angepasst und aktualisiert werden. Sollte die Anzahl der Mitarbeiter an einem Standort wachsen, kann die vorhandene Aplliance einfach durch ein leistungsstärkeres Modell ersetzt werden. Ein Eingriff in die restliche Infrastruktur ist nicht erforderlich. So können auch neue Standorte sehr unkompliziert dem SD-WAN hinzugefügt oder vorhandene Standorte umgezogen werden. Dabei sind die einzelnen Verbindungen durch eine Ende-zu-Ende-Verschlüsselung ebenso sicher, wie mit der bisherigen Lösung.

Ein wirtschaftlicher Vorteil ist vor allem, dass mit der Einführung von SD-WAN die Notwendigkeit der kostenintensiven MPLS-Leitungen wegfällt. Da zudem die Umgebung als Ganzes lizensiert wird, sind z.B. einzeln lizensierte Firewalls an den verschiedenen Standorten nicht mehr erforderlich. Dies spart einerseits Kosten, vereinfacht aber vor allem das Lizenzmanagement enorm.

Durch die Einführung eines SD-WAN konnte michael wessel somit die Performance der Umgebung und die Zufriedenheit der Nutzer steigern, während gleichzeitig die Kosten und der Administrationsaufwand reduziert wurden.

Citrix ADC/ Netscaler Full-VPN mit Client Choices

Neben der Nutzung des ADC als Load Balancer und Content Switch oder Gateway für Virtual Apps and Desktops, bietet die Lösung auch die Möglichkeit echtes SSL VPN zu implementieren.

Falls ein bestehender Gateway Virtual Server konfiguriert ist, kann dieser mit wenigen Schritten oft um ein wahlweises SSL VPN erweitert werden.

Voraussetzungen

  • Netscaler Gateway Virtual Server muss im Smart Access Modus sein („IcaOnly = false“)
  • Es müssen ausreichend Universal Licenses vorhanden sein, für alle Verbindungen zu diesem Gateway Virtual Server

Einbau in ein bestehendes Gateway

Am einfachsten lässt sich das Full-VPN in ein bestehendes Gateway implementieren, wenn man über eine Gruppenmitgliedschaft einem teil der Benutzer die selektive Auswahl des Full VPN als Alternative zum Virtual Apps and Desktops anbiete. Hierzu gibt es idealerweise in der LDAP Policy des Gateways eine funktionierende Group Extraction. Der ADC wird dann beim Login eines Benutzers versuchen LDAP Gruppenmitgliedschaften auf ADC Gruppenmitgliedschaften (hier: CitrixFullVPN) zu übersetzen.

add aaa group CitrixFullVPN

An diese Gruppe können wir nun den gewünschten Client IP-Bereich für das VPN binden und eine entsprechende Policy, welche die Benutzerauswahl („-Client Choices ON“) einblendet und die VPN Funktion zusätzlich konfiguriert:

add vpn sessionAction AC_VPN -splitDns REMOTE -splitTunnel OFF -transparentInterception ON -defaultAuthorizationAction ALLOW -SSO ON -ssoCredential PRIMARY -icaProxy OFF -wihome "https://store.mycompany.de/Citrix/StoreWeb" -ClientChoices ON -ntDomain mycompany -clientlessVpnMode OFF -iconWithReceiver OFF
add vpn sessionPolicy PL_VPN-classic ns_true AC_VPN
bind aaa group CitrixFullVPN -intranetIP 192.168.1.0 255.255.255.0
bind aaa group CitrixFullVPN -policy PL_VPN-classic -priority 100

Bei der Konfiguration kann über die Parameter „-splitTunnel“ und „-splitDns“ angegeben werden, ob der komplette Traffic in den Tunnel geleitet werden soll oder nur ein Teil des Traffics. Eine ähnliche Konfiguration ist für DNS möglich. Im obigen Beispiel, wird der komplette Traffic nach dem VPN Verbindungsaufbau in den Tunnel geleitet und DNS Remote, also über den Netscaler abgewickelt.

Routing

Es ist theoretisch möglich die Full VPN Funktionalität ohne einen zusätzlichen Adressbereich zu nutzen, der Netscaler lässt dann alle Clients per Übersetzungstabelle über die SNIP kommunizieren. In der Praxis hat sich gezeigt, das einige Backendsysteme damit nicht klarkommen und der Traffic außerdem in einer Firewall selektiver behandelt werden kann, wenn ein zusätzlicher Adressbereich genutzt wird. Zu diesem Adressbereich wiederum wird dann über die bestehende SNIP des Netscalers geroutet. Es ist also auf einer zentralen Firewall oder einem Gateway eine Route analog dem folgenden Beispiel zu konfigurieren:

route add 192.168.1.0 255.255.255.0 <NetscalerSNIP>

Benutzeransicht

Login
„Client Choices“ Abfrage
Netscaler Gateway Plugin

Weitere Möglichkeiten

Das Netscaler Gateway Plugin beherrscht neben den klassischen primären und sekundären Faktoren auch die Anzeige der Netscaler NFactor Faktoren/ eines Flows im Plugin und kann somit auch damit kombiniert werden.

Die Verbindungen innerhalb des VPNs können mittels Authorization Policies pro Benutzer oder Gruppe eingeschränkt werden.

Citrix Dokumentation:

Full VPN setup on Citrix Gateway

VMware vSphere: Kritische Sicherheitslücke im vCenter

Kürzlich gab VMware bekannt, dass es eine Sicherheitslücke in den Plugins des vCenter Servers bekanntgeworden ist (CVE-2021-21985). Betroffen hiervon sind die folgenden vCenter Versionen:

  • VMware vSphere 6.5
  • VMware vSphere 6.7
  • VMware vSphere 7.0
  • VMware Cloud Foundation Versionen 3.x und 4.x

Ohne Gegenmaßnahmen ist es Angreifern möglich, über das vSAN Health Plugin (Siehe Link) des vSphere Clients (HTML5) Schadcode in das System zu übertragen und Root-Rechte zu erlangen. Diese Sicherheitslücke betrifft auch Kunden, die kein vSAN im Einsatz haben, denn das Plugin ist standardmäßig installiert und aktiviert. Um diese Sicherheitslücke zu schließen hat VMware für die betroffenen vCenter-Versionen jeweils ein Update für den vCenter-Server bereitgestellt. In diesem wird gleichzeitig auch eine weitere Sicherheitslücke (CVE-2021-21986) geschlossen. Diese wurde seitens VMware hingegen als moderat gefährlich bezeichnet und ist im verlinkten KB-Artikel ebenfalls aufgeführt.

Response-Matrix der betroffenen Versionen

ProduktVersionCVE IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
vCenter Server 7.0CVE-2021-219859.8Kritisch 7.0 U2bKB83829FAQ
vCenter Server6.7CVE-2021-219859.8Kritisch 6.7 U3nKB83829FAQ
vCenter Server6.5CVE-2021-219859.8Kritisch 6.5 U3pKB83829FAQ
VMware vCenter Response-Matrix für CVE-2021-21985
ProduktVersionCVE-IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
Cloud Foundation (vCenter Server) 4.xCVE-2021-219859.8Kritisch 4.2.1KB83829FAQ
Cloud Foundation (vCenter Server) 3.xCVE-2021-219859.8Kritisch 3.10.2.1KB83829FAQ
VMware vCenter Cloud Federation Response-Matrix für CVE-2021-21985

Möglicher Workaround (nur ohne aktives vSAN möglich)

Falls es nicht möglich sein sollte, das Update kurzfristig einzuspielen, gibt es einen Workaround, der in dem VMware KB-Artikel 83829 beschrieben wird. Dieser sieht vor in den betroffenen vCenter Versionen das schadhafte Plugin in den Dateien

/etc/vmware/vsphere-ui/compatibility-matrix.xml

bzw.

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

über einen Editor zu deaktivieren. Dies funktioniert allerdings nur, wenn Sie kein VMware vSAN im Einsatz haben.

Sollten Sie noch Fragen zum Schließen der Sicherheitslücke haben oder Unterstützung bei der der Umsetzung benötigen, sind wir gerne behilflich. Kontaktieren Sie gerne kurzfristig unseren Servicedesk oder Ihren Account Manager.

Weiterführende Informationen

https://www.vmware.com/security/advisories/VMSA-2021-0010.html
https://kb.vmware.com/s/article/83829
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html