Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Ihnen vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, die es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen. „Security/Wireless: WPA2-KRACK-Leak“ weiterlesen

Nach Sicherheitsvorfall: Citrix stellt neue NetScaler Builds bereit

Es war ein beispielloses Szenario: Für mehrere Tage waren keinerlei Firmware-Versionen von Citrix NetScaler zum Download verfügbar, zurückgezogen aufgrund eines nicht näher spezifizierten „Issues“, der gefunden worden sei.

Die Verweise auf Best Practises und Secure Deployment Guides legten bereits nahe, dass ein Sicherheitsrisiko im Bereich des Management Access vorliegen dürfte. Dieser ist immer auf der NetScaler IP (NSIP) als der primärer Management-IP zugänglich und kann auf jeder Subnet IP (SNIP) ebenfalls aktiviert werden. Welcher Dienst genau betroffen sei (in Frage kamen SSH oder der Webserver für die GUI), war nicht erkennbar. In den allermeisten Deployments  jedoch dürfte der verwundbare Dienst ohnehin nur im Management-Netz erreichbar gewesen sein, gemäß Best Practises sogar nur für explizit berechtigte Admin-Arbeitsplätze. Insofern erschien die Maßnahme überraschend heftig, zu der Citrix mit dem Zurückziehen sämtlicher Builds griff.

Jetzt hat Citrix neue Builds der supporteten Versionen 10.1, 10.5, 10.5e, 11.0, 11.1 und 12.0 bereitgestellt. Im zugehörigen Security Bulletin ist nun auch ausgeführt, worum es sich handelt: Die Authentifizierung am Management Interface kann unter bestimmten Umständen umgangen werden, so dass Unbefugte administrativen Zugriff erlangen können.

Zeitnahe Updates sind dringend angeraten. Derweil die schon empfohlenen Best Practises zum sicheren Deployment. In allen Punkten unterstützen wir zahlreiche Unternehmen aktiv – kommen Sie gerne auf uns zu, wenn Sie Fragen haben.

NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben

Citrix hat es endlich gewagt!

Wir haben schon lange in etlichen internen Runden darauf gedrängt, und auch die ersten positiven Signale (natürlich streng vertraulich) bereits im Sommer zurückbekommen. Und jetzt ist es endlich offiziell: Citrix lockert die SSL-VPN Lizenzierung auf. Bisher konnten wir trotz der Investition in Citrix NetScaler Standard oder Enterprise Lizenzen nur 5 Concurrent User SSL-VPN nutzen. Weitere User mussten separat per NetScaler Gateway Universal License lizenziert werden oder aus XenApp / XenDesktop Platinum übernommen werden. Einzig die NetScaler Platinum Lizenz hat 100 CCU SSL-VPN mitgebracht.

„NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben“ weiterlesen

NetScaler MAS | Was bisher geschah

Wie schon angekündigt gibt es einige Neuigkeiten rund um die neue NetScaler 11.1 Firmware. Für das neue NetScaler Management and Analytics System (MAS) habe ich mir ein paar Tage in unserem DemoCenter und unserer LAB Umgebung gegönnt.

Doch zuerst wollen wir noch einen Blick auf die bisher verfügbaren Werkzeuge rund um den NetScaler Betrieb werfen.

„NetScaler MAS | Was bisher geschah“ weiterlesen

Setup: NetScaler Kerberos Impersonation

Unser Einstieg in die praktische Kerberos-Umsetzung ist die Kerberos Impersonation. Wie schon in den theoretischen Grundlagen erklärt haben wir hier eine deutlich geringere Komplexität und können so deutlich schneller erste Erfolge messen. Dafür sind wir immer abhängig vom Passwort des zu authentifizierenden Benutzers. Kerberos Impersonation können wir also nur einsetzen, wenn der Anwender sich per Benutzername und Passwort anmeldet!

Die Konfiguration für Kerberos Impersonation ist denkbar einfach und basiert auf drei kleinen Schritten:

„Setup: NetScaler Kerberos Impersonation“ weiterlesen

Cutting Edge Technology: CloudBridge SD-WAN

Last year, Citrix presented a new edition of CloudBridge dubbed VirtualWAN. By now, they are close to finally shipping the integrated Enterprise version of CloudBridge that will include this new feature alongside all the existing WAN optimization features in a single product. The new buzzword and marketing term for this generation now is „SD-WAN“ as everything is „Software Defined“ today.

Instead of theory and lengthy explanations here, I suggest you watch the video of the live demo at Citrix Summit by the cool kids: