Citrix ADC/ Netscaler Full-VPN mit Client Choices

Neben der Nutzung des ADC als Load Balancer und Content Switch oder Gateway für Virtual Apps and Desktops, bietet die Lösung auch die Möglichkeit echtes SSL VPN zu implementieren.

Falls ein bestehender Gateway Virtual Server konfiguriert ist, kann dieser mit wenigen Schritten oft um ein wahlweises SSL VPN erweitert werden.

Voraussetzungen

  • Netscaler Gateway Virtual Server muss im Smart Access Modus sein („IcaOnly = false“)
  • Es müssen ausreichend Universal Licenses vorhanden sein, für alle Verbindungen zu diesem Gateway Virtual Server

Einbau in ein bestehendes Gateway

Am einfachsten lässt sich das Full-VPN in ein bestehendes Gateway implementieren, wenn man über eine Gruppenmitgliedschaft einem teil der Benutzer die selektive Auswahl des Full VPN als Alternative zum Virtual Apps and Desktops anbiete. Hierzu gibt es idealerweise in der LDAP Policy des Gateways eine funktionierende Group Extraction. Der ADC wird dann beim Login eines Benutzers versuchen LDAP Gruppenmitgliedschaften auf ADC Gruppenmitgliedschaften (hier: CitrixFullVPN) zu übersetzen.

add aaa group CitrixFullVPN

An diese Gruppe können wir nun den gewünschten Client IP-Bereich für das VPN binden und eine entsprechende Policy, welche die Benutzerauswahl („-Client Choices ON“) einblendet und die VPN Funktion zusätzlich konfiguriert:

add vpn sessionAction AC_VPN -splitDns REMOTE -splitTunnel OFF -transparentInterception ON -defaultAuthorizationAction ALLOW -SSO ON -ssoCredential PRIMARY -icaProxy OFF -wihome "https://store.mycompany.de/Citrix/StoreWeb" -ClientChoices ON -ntDomain mycompany -clientlessVpnMode OFF -iconWithReceiver OFF
add vpn sessionPolicy PL_VPN-classic ns_true AC_VPN
bind aaa group CitrixFullVPN -intranetIP 192.168.1.0 255.255.255.0
bind aaa group CitrixFullVPN -policy PL_VPN-classic -priority 100

Bei der Konfiguration kann über die Parameter „-splitTunnel“ und „-splitDns“ angegeben werden, ob der komplette Traffic in den Tunnel geleitet werden soll oder nur ein Teil des Traffics. Eine ähnliche Konfiguration ist für DNS möglich. Im obigen Beispiel, wird der komplette Traffic nach dem VPN Verbindungsaufbau in den Tunnel geleitet und DNS Remote, also über den Netscaler abgewickelt.

Routing

Es ist theoretisch möglich die Full VPN Funktionalität ohne einen zusätzlichen Adressbereich zu nutzen, der Netscaler lässt dann alle Clients per Übersetzungstabelle über die SNIP kommunizieren. In der Praxis hat sich gezeigt, das einige Backendsysteme damit nicht klarkommen und der Traffic außerdem in einer Firewall selektiver behandelt werden kann, wenn ein zusätzlicher Adressbereich genutzt wird. Zu diesem Adressbereich wiederum wird dann über die bestehende SNIP des Netscalers geroutet. Es ist also auf einer zentralen Firewall oder einem Gateway eine Route analog dem folgenden Beispiel zu konfigurieren:

route add 192.168.1.0 255.255.255.0 <NetscalerSNIP>

Benutzeransicht

Login
„Client Choices“ Abfrage
Netscaler Gateway Plugin

Weitere Möglichkeiten

Das Netscaler Gateway Plugin beherrscht neben den klassischen primären und sekundären Faktoren auch die Anzeige der Netscaler NFactor Faktoren/ eines Flows im Plugin und kann somit auch damit kombiniert werden.

Die Verbindungen innerhalb des VPNs können mittels Authorization Policies pro Benutzer oder Gruppe eingeschränkt werden.

Citrix Dokumentation:

Full VPN setup on Citrix Gateway

WLAN-Sicherheitslücke Fragattack

Vor wenigen Tagen hat der IT-Sicherheitsexperte Mathy Vanhoef eine Vielzahl an Sicherheitslücken in den WLAN-Standards der IEEE aufgedeckt. Laut Vanhoef sind vermutlich nahezu alle WLAN-Geräte mindestens von einer dieser Sicherheitslücken betroffen. Er selbst hat die Schwachstellen an 75 unterschiedlichen Geräten getestet. Zusammengefasst werden sie unter dem Begriff Fragattack. Dieser hat seinen Ursprung in der Funktionsweise der Angriffe bzw. des hier missbräuchlich ausgenutzten Kommunikationsverfahrens im IEEE 802.11-Standard, dem Fragmentieren der Anfragen.

Funktionsweise und betroffene Geräte

Die Sicherheitslücken betreffen alle WLAN-Sicherheitsstandards einschließlich des relativ jungen WPA3-Standards. Ermöglicht werden diese Exploits durch die Funktionsweise von WPA:

  • Anfragen können in mehrere Datenpakete aufgeteilt (fragmentiert) und dann beim Empfänger wieder zusammengefügt werden. Dieses Protokoll-Design ermöglicht es Hackern, manipulierte Authentifizierungsanfragen an das Netzwerk zu stellen.
  • Dabei entspricht nur das erste Paket einer echten Anfrage, während die darauffolgenden Pakete manipulierte Daten enthalten. Bei dem Zusammenbau dieser Datenpakete erkennt das Netzwerk die Zugehörigkeit dieser Teilpakete. Dadurch kann ein Angreifer ohne Kenntnis des WLAN-Passwortes oder Entschlüsselung manipulierte Daten in das Netzwerk schleusen.
  • Diese manipulierte Daten können dann eingesetzt werden, um beispielsweise Ports für versteckte externe Verbindungen zu öffnen oder unverschlüsselten Datenverkehr abzufangen bzw. zu manipulieren.

Vanhoef hat vor der öffentlichen Enthüllung dieser Designschwäche mit Hardwareentwicklern neun Monate im Voraus zusammengearbeitet, um diese Exploits zu beheben. Die daraus resultierende Patches sollen die Sicherheitslücken beheben, einige sind bereits seit März veröffentlicht. Problematisch sind jedoch die Netzwerkteilnehmer, die keine bzw. nur sporadische Sicherheitsupdates bekommen, wie etwa IoT-Geräte (z.B. Smart-Home Geräte). Die Hersteller raten zu einer kurzfristigen Aktualisierung der Firmware aller Geräte. Zudem sollte möglichst unverschlüsselter Datenverkehr in WLAN-Netzen vermieden oder administrativ unterbunden werden, sofern möglich.

Pikant ist zudem, dass gleichermaßen PSK/SAE- wie auch Enterprise-Authentifizierung der Geräte von den Schwachstellen betroffen sind. Viele sonst bekanntgewordene Schwachstellen im WLAN-Umfeld betrafen meist die eher unsicheren PSK-/SAE-Authentfiizierung über einen gemeinsamen Netzwerkschlüssel aller mit dem WLAN verbundenen Geräte, wie man es von zuhause kennt. Im Fall dieser Schwachstelle schützt die Authentifizierung via IEEE 802.1x daher Geräte nicht erheblich besser, als in vielen anderen Fällen.

Weiterführende Informationen zur Funktionsweise finden sich auf der von Vanhoef veröffentlichen Website (https://www.fragattacks.com/) und vor allem in einer seiner Präsentationen (Siehe Link), wo die Schwachstellen genau aufgezeigt werden.

Wie kam es dazu?

Im IEEE-Standard 802.11 (Abschnitt 10.6) ist das Fragmentieren der Anfragen beschrieben. Es wird nicht vor der Manipulation gewarnt und eine Konformität erfordert keine Überprüfung der erneut zusammengesetzten Pakete nach der Übertragung von Fragmenten.

"If security encapsulation has been applied to the fragment, it shall be deencapsulated and decrypted before the fragment is used for defragmentation of the MSDU or MMPDU."

CVE-Codes & BSI-Mitteilungen zu FragAttacks

Das BSI hat eine Warnung zu der Schwachstelle veröffentlicht, die hier (Link zur BSI-Warnung) abgerufen werden kann.

Liste der CVE-Codes zu FragAttacks:

  • CVE-2020-24588: Aggregation attack (accepting non-SPP A-MSDU frames)
  • CVE-2020-24587: Mixed key attack (reassembling fragments encrypted under different keys)
  • CVE-2020-24586: Fragment cache attack (not clearing fragments from memory when (re)connecting to a network)
  • CVE-2020-26145: Accepting plaintext broadcast fragments as full frames (in an encrypted network)
  • CVE-2020-26144: Accepting plaintext A-MSDU frames that start with an RFC1042 header with EtherType EAPOL (in an encrypted network)
  • CVE-2020-26140: Accepting plaintext data frames in a protected network
  • CVE-2020-26143: Accepting fragmented plaintext data frames in a protected network
  • CVE-2020-26139: Forwarding EAPOL frames even though the sender is not yet authenticated (should only affect APs)
  • CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers
  • CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments
  • CVE-2020-26142: Processing fragmented frames as full frames
  • CVE-2020-26141: Not verifying the TKIP MIC of fragmented frames

Was kann ich tun, um meine Geräte zu schützen?

In erster Linie sollte man sich ein paar Grundsätze wieder bewusst machen und zur Gewohnheit machen:

  • Regelmäßige Software- und Firmwareupdates auf allen Geräten einspielen.
  • Wo möglich aus Gründen der Sicherheit und Stabilität das Patchkabel dem WLAN bei sicherheitskritischer Kommunikation vorziehen.
  • Möglichst auf verschlüsselte Kommunikation achten (https:// in der Browserzeile). Hilfreich ist hier auch das Browserplugin https-everywhere (siehe Link) , was jede Browserkommunikation zu verschlüsseltem https zwingt.

Sollten Sie Unterstützung bei der Aktualisierung Ihrer Geräte benötigen, oder eine Überprüfung auf die Schwachstelle wünschen, wenden SIe sich gerne vertrauensvoll an uns.

Neueröffnung des HPE Pointnext Education Services vLABs-Centers

Unser Fokus-Partner Hewlett Packard Enterprise eröffnete das innovative Training & vLabs Center auf etwa 900 Quadratmeter am deutschen Hauptstandort in Böblingen. Die michael wessel wurde dabei vor Ort aus dem Consulting durch David Yoel Wandschneider sowie unseren Teamleiter des Teams Datacenter Infrastructure, Daniel Lengies, vertreten. Im Dialog konnte die Zusammenarbeit partnerschaftlich gestärkt werden, Gespräche und Präsentationen lieferten einige – teils neue, teils bereits von uns in unseren Services enthaltenen Aspekte in der Weiterentwicklung IT-gestützter Prozesse und der chancenreichen Digitalisierung.

Wir haben im Folgenden unsere Eindrücke aus den Bereichen Technoligieentwicklung, Mobility, IoT und VR-Guidance, sowie Prozessoptimierung und Mitarbeiterawareness zusammengefasst.

Continue reading „Neueröffnung des HPE Pointnext Education Services vLABs-Centers“

Ein neuer Certified Ethical Hacker bei michael wessel

Unser Kollege und Leiter des Teams Datacenter Infrastructure, Daniel Lengies, hat nun seine Zertifizierung zum Certified Ethical Hacker (EC Council) bestanden. Diese beinhalteten umfangreiche Schulungsmaßnahmen mit hohen Praxisanteilen. Darüber hinaus musste er viele Kenntnisse über Sicherheitssystemtechniken beweisen. Darunter auch solcher Techniken, die Gegenmaßnahmen gegen Hackingangriffe enthalten.

Continue reading „Ein neuer Certified Ethical Hacker bei michael wessel“

WLAN-Infrastruktur Setup in wenigen Minuten?

Kunden oder Gäste fragen Sie immer wieder nach einem WLAN-Zugang, den Sie bisher nicht anbieten konnten?

Sie haben das Thema WLAN bisher vermieden, weil virtuelle Netzwerke, IP-Adressen und Subnetzmasken Fremdwörter für Sie sind? Sie haben die hohen Aufwände für Installation und Betrieb einer performanten WLAN-Infrastruktur gescheut? Ihre IT besteht nur aus Ihnen und Sie müssen die gesamte Infrastruktur betreiben? Fühlen Sie sich angesprochen, sollten Sie diesen Blogpost nun mit erhöhter Aufmerksamkeit lesen!

Continue reading „WLAN-Infrastruktur Setup in wenigen Minuten?“

W-LAN wird mit IEEE802.11ax (WiFi6) endlich effizienter

Was bringt der neue Standard und wann lohnt ein Umstieg?

Der IEEE-Standard 802.11ax wurde von der WIFI-Alliance mit dem Titel WIFI6 versehen, da es sich um die sechste Generation WLAN handelt, die damit ausgerufen worden ist. Es soll damit vorwiegend im Consumer-Bereich eine einfachere Unterscheidung der WLAN-Generationen herbeigeführt werden. Während man mit der vorherigen Generation in voller Ausbaustufe (IEEE 802.11ac WAVE2) bereits das theoretisch physikalische Maximum an Bandbreite ausgereizt hat, orientiert sich der Standard 802.11ax vorwiegend an der Effizienzsteigerung und dem Erhöhen der realistischen Bandbreitenwerte. Die Maximalwerte in Sachen Performance sind stets orientiert an einem Optimum, was Entfernung Signaldämpfung und Empfangsgerät betreffen, was leider nie der Realität entspricht. Um das Brutto-Netto-Verhältnis, also die effektive Durchsatzausbeute anzuheben, wird im neuen Standard ein neues Verfahren namens OFDMA (Orthogonal Frequency Division Multiple Access) eingesetzt, welches Netzen mit vielen Clients und hoher Dichte eine enorme Steigerung der Effizienz verspricht. An der Performance wurde ebenfalls durch eine komplexere Signalmodulation geschraubt. Es kommt nun 1024-QAM zum Einsatz. Durch die vierfache Modulation konnten auch die theoretischen Datenraten vervierfacht werden.

Quelle: https://www.arubanetworks.com/assets/so/ReferenceGuide_80211ax.pdf
OFDM vs. OFDMA: Gleichzeitige Verteilung von Zeitslots an mehrere Nutzer statt an einen je Zeitslot. Quelle: https://www.arubanetworks.com/assets/so/ReferenceGuide_80211ax.pdf
Continue reading „W-LAN wird mit IEEE802.11ax (WiFi6) endlich effizienter“

Game, App oder VR-Gesichtserkennung beim Code+Design Camp in Hannover

Code + Design – eine Initiative für junge Interessierte

Am Wochenende (03.08. – 06.08.2018) fand mit über 25 Teilnehmern das Code & Design Camp in den Räumlichkeiten der Dr. Buhmann Schule in Hannover statt. Die Teilnehmer konnten an ihren eigenen Projekten tüfteln, ihr Wissen bei Vorträgen oder Workshops auffrischen oder sich einfach nur von den anderen inspirieren lassen. Eigene Projekte, wie ein Retro Spiel oder eine App, wurden weiterentwickelt und teilweise sogar abgeschlossen. Continue reading „Game, App oder VR-Gesichtserkennung beim Code+Design Camp in Hannover“

WLAN-Ausleuchtung mit michael wessel

Um eine nachhaltige, kosteneffiziente und der Anforderung entsprechende WLAN-Abdeckung zu erreichen, sind einige Parameter zu bedenken. Wir geben hier einen kurzen Einblick in die Welt der WLAN-Planung. Sprechen Sie uns gerne an, wenn Sie ein neues Gebäude oder einen Ausbau der Infrastruktur planen oder vielleicht einfach die Störeinflüsse in Ihrer Umgebung ausfindig machen wollen. Wenn Sie eine Bestandsaufnahme Ihrer Wireless-Infrastruktur wünschen, ist eine WLAN-Ausleuchtung auch ein erster, richtiger Schritt, um Sie und Ihr Unternehmen weiter voranzubringen.

Continue reading „WLAN-Ausleuchtung mit michael wessel“

Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Ihnen vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, die es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen. Continue reading „Security/Wireless: WPA2-KRACK-Leak“