Aquest post ens serà molt útil si tenim algun servei publicat amb NetScaler, des del propi Gateway, hasta algún Content Switch que tengamos por exemple, la pregunta serà elevar el nivell de cifrado requerido evitando posibles cifrados viejos vulnerables.

Des de fa tiempo que coneixem y os doy la tabarra con la maravillosa web de SSL Labs, un lloc web que verificará qualsevol servei que tengamos publicat amb un certificat i pensàvem per tant que es segur. SSL Labs nos sacará los colors y nos indicará posibles fallos de seguretat. La pregunta farà el cas i no usar cifrados que a dia de avui no són segurs.

Comencem, si anem a “Traffic Management” > “SSL” > “Cipher Groups” i creamos desde “Add” un grupo de cifrado nou, on afegim els últims cifrats i clarament deixarem l'accés a les maquinàries velles que no els soporten, com puedan ser Windows 7. Le damos un nombre y afegimos els següents cifrats:

• TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
• TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
• TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384

Ara, crearemos un Perfil SSL, des de “System” > “Perfils” > “SSL Profile”. Y configuramos:

• Li indiquem un nom.
• En ‘Deny SSL Renegotiation’ marcamos ‘NONSECURE’.
• Marcamos ‘HSTS e indicamos ‘Max Age’ a ‘15552000’
• En ‘Protocol’ desmarcaremos ‘SSLv3’, ‘TLSv1’, y ‘TLSv11’. Al menos dejaremos ‘TLSv12’.

Y luego sería cuestión de asociar el Grupo de cifrado y el Perfil de SSL en los virtual server que dispongamos, sea un GSLB, Content Switching, un Gateway…

El ideal será hacer una prueba antes y después de modificar en el NetScaler, recordar posteriormente si todo fue bien, grabar la configuración. Així que, podremos borrar el caché en SSL Labs y probar de nuevo, si todo ha ido bien tendremos la máxima nota de seguridad, ahora nuestro canal seguro sí lo será utilizando unos niveles de cifrado más altos.