Obtenir un A+ en SSLABS sur les sites publiés avec NetScaler

Imprimable, PDF & Email

Cet article sera très utile si nous avons un service publié avec NetScaler, à partir de la Passerelle elle-même, à un commutateur de contenu que nous avons, par exemple, Il s’agira d’augmenter le niveau de chiffrement requis tout en évitant d’éventuels chiffrements anciens vulnérables.

Depuis longtemps, nous savons et je vous donne le plaisir avec le merveilleux site web de Laboratoires SSL, un site web qui vérifiera tout service que nous avons publié avec un certificat et donc nous pensons qu’il est sûr. SSL Labs nous montrera les couleurs et nous indiquera les éventuelles failles de sécurité. La question sera de l’écouter et de ne pas utiliser des chiffrements qui ne sont pas sécurisés aujourd’hui.

Commencé, Si nous allons “Gestion du trafic” > “S.A.” > “Groupes de chiffrement” et nous créons à partir de “Ajouter” Un nouveau groupe de chiffrement, où nous ajouterons les derniers cryptages et bien sûr nous supprimerons l’accès aux anciennes machines qui ne les prennent pas en charge, tels que Windows 7. Nous lui donnons un nom et ajoutons les chiffres suivants:

  • TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384

Maintenant, nous allons créer un profil SSL, depuis “Système” > “Profils” > “Profil SSL”. Et nous avons mis en place:

  • Nous vous donnons un nom.
  • Dans 'Refuser la renégociation SSL’ nous cochons 'NONSECURE'.
  • Nous vérifions 'HSTS' et indiquons 'Age maximum'’ à '15552000’
  • Dans 'Protocole’ décochez 'SSLv3', 'TLSv1', et « TLSv11 ». Au moins, nous laisserons 'TLSv12'.

Et puis il s’agirait d’associer le groupe de chiffrement et le profil SSL dans les serveurs virtuels que nous avons, Devenez un GSLB, Changement de contenu, une passerelle…

Idéalement, vous devriez faire un test avant et après la modification dans le NetScaler, se rappeler plus tard si tout s’est bien passé, Enregistrer les paramètres. Ainsi, nous pouvons vider le cache dans SSL Labs et réessayer, Si tout s’est bien passé, nous aurons la note de sécurité la plus élevée, Désormais, notre canal sécurisé utilisera des niveaux de cryptage plus élevés.

Articles recommandés

VPN avec Citrix NetScaler II - Exiger des certificats pour accéder
Lire
VPN avec Citrix NetScaler IV - Toujours ACTIVÉ
Lire
VPN avec Citrix NetScaler III - Authentification avec des certificats
Lire
VPN avec Citrix NetScaler I - Déploiement & Pré-authentification
Lire

Auteur

par Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, N’hésitez pas à me contacter, J’essaierai de vous aider chaque fois que je le pourrai, Partager, c’est vivre ;) . Profiter des documents!!!

Surveillance des enregistrements DKIM, SPF et DMARC de Centreon

17 Juin de 2021

Un podcast pour l’informatique - Elastic Stack pour les dinosaures

12 de juillet de 2021