1. Ana Sayfa
  2. ADC
  3. Citrix ADC ile SSL Testinde A+ Nasıl Alınır?

Citrix ADC ile SSL Testinde A+ Nasıl Alınır?

aplus_ssl

Bu yazımda sizlere Citrix ADC (Netscaler) ürünümüzün güvenliğini nasıl arttıracağımız ve SSLLabs testinde nasıl A+ puanı ile geçebileceğimizi anlatacağım. Anlatacağım bu maddeler Citrix ADC 13.0-47.22 üzerinde test edilmiştir.

Ortamınızda bulunan Citrix ADC üzerinde bir sanal sunucu oluşturduğunuzda, varsayılan olarak aşağıdaki resimde görebileceğiniz gibi C puanı alırsanız.

Şimdi SSL notumuzu nasıl A+ seviyesine çıkaracağımızı öğrenelim. Örnekleri anlatırken grafik arayüz yerine komut ekranını tercih edeceğim. Siz de sanal sunucu isimlerini değiştirip, direkt yapınızda test edip, uygulayabilirsiniz.

1- Citrix ADC için en son çıkan versiyona geçtiğinizden emin olarak, versiyon bazlı çıkabilecek güvenlik açıklarına engel olabilirsiniz.

2- Oluşturduğunuz sanal sunucular üzerinde TLSv1.2′ nin etkin olduğundan emin olunuz. TLSv1.2 etkinleştirmek için;

set ssl vserver vServer_İsmi -tls12 ENABLED

3- Sanal sunucular üzerinde SSLv3.0 ‘ı devre dışı bırakınız. SSLv3, POODLE saldırılarına karşı savunmasızdır ve aktif olduğu durumlarda test sonucu olarak C alırsınz. SSLv3 ‘ü kapatmak için;

set ssl vserver vServer_İsmi -ssl3 DISABLED

4- Sertifika zincirinizin tamamlandığından emin olunuz. Sertifikalar her zaman son noktaya kadar güvenen biri (CA) tarafından imzalanmaz, çoğu zaman bir arabulucu CA tarafından da imzalanabilir. Sertifikalarınızı imzalayan, diğer bir deyişle sertifikalarınızn bütün Root sertifikalarını Citrix ADC ürününüze yüklediğinizden emin olunuz ve bu arkadaşları birbirleri ile linkleyiniz. Eksik bir sertifika zinciriniz olması durumunda SSL testinden B notu alırsınız.

5- AEAD, ECDHE ve ECDSA şifre paketlerini tercih eden yeni bir şifreleme grubu oluşturunuz. Eğer Citrix ADC üzerinde şifre paketlerini DEFAULT olarak bırakır iseniz, SSL testinden yine B notu ile sınırlandırılırsınız.

Yeni bir şifreleme paketi oluşturmak için;

add ssl cipher SSLChip-2020
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-ECDSA-AES128-SHA256
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-ECDSA-AES256-SHA384
bind ssl cipher SSLChip-2020 -cipherName TLS1-ECDHE-ECDSA-AES128-SHA
bind ssl cipher SSLChip-2020 -cipherName TLS1-ECDHE-ECDSA-AES256-SHA
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-ECDHE-RSA-AES-256-SHA384
bind ssl cipher SSLChip-2020 -cipherName TLS1-ECDHE-RSA-AES128-SHA
bind ssl cipher SSLChip-2020 -cipherName TLS1-ECDHE-RSA-AES256-SHA
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-DHE-RSA-AES128-GCM-SHA256
bind ssl cipher SSLChip-2020 -cipherName TLS1.2-DHE-RSA-AES256-GCM-SHA384
bind ssl cipher SSLChip-2020 -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA
bind ssl cipher SSLChip-2020 -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA
bind ssl cipher SSLChip-2020 -cipherName TLS1-AES-128-CBC-SHA
bind ssl cipher SSLChip-2020 -cipherName TLS1-AES-256-CBC-SHA

6- Sanal sunucunuzda varsayılanda seçili olan DEFAULT şifreleme paketini devre dışı bırakınız ve oluşturduğumuz yeni şifreleme paketini sanal sunucunuza ekleyiniz.

unbind ssl vserver vServer_İsmi -cipherName DEFAULT
bind ssl vserver vServer_İsmi -cipherName SSLChip-2020
bind ssl vserver vServer_İsmi -eccCurveName ALL

7- Sanal sunucularınızda Secure Renegotiation özelliğine izin verin. Secure Regegotiation, bir istemci-sunucu çiftinin mevcut bir SSL bağlantısı üzerinden yeni bir SSL el sıkışma dizisi gerçekleştirilmesini sağlar ve bunun Citrix ADC ile sertifika kimlik doğrulaması dahil olmak üzere çeşitli kullanımları vardır. Bu özelliği etkinleştirmeniz durumunda SSL testinden A- puanı alırsınız. Bu özelliği etkinleştirmek için;

set ssl parameter -denySSLReneg NONSECURE

8- HTTP Strict Transport Security özelliğini aktifleştiriniz. Diğer bir adıyla HSTS; kullanıcıların yaptıkları istekleri HTTPS kullanmaya zorlayıp, Downgrade adı verilen saldıralara karşı alınan bir önlemdir. Temel amacı trafiğin güvenliğini sağlamaktır. HSTS özelliğini etkinleştirmek için;

set ssl vserver vServer_İsmi -HSTS ENABLED -maxage 157680000

9- DHE paketlerine ihtiyacınız varsa bir DH anahtarı oluşturun ve sanal sunucunuza bağlayınız.

create ssl dhparam DH_Paketi 2048 -gen 2
set ssl vserver vServer_İsmi -dh ENABLED -dhFile DH_Paketi

Bu işlemlerden sonra artık yeni bir SSL testi yaptığınızda puanınızı A+ seviyesine çıkarmış olacaksınız.

Bununla birlikte SSL Labs testinin sadece bir fikir olduğunu ve ortamınızın güvenliği hakkında bilgi edinmek için güzel bir araç olduğunu unutmayınız.

Yorum Yap

Yorum Yap