Bu yazımda sizlere Citrix ADC (Netscaler) ürünümüzün güvenliğini nasıl arttıracağımız ve SSLLabs testinde nasıl A+ puanı ile geçebileceğimizi anlatacağım. Anlatacağım bu maddeler Citrix ADC 13.1-42.47 üzerinde test edilmiştir.
Ortamınızda bulunan Citrix ADC üzerinde bir sanal sunucu oluşturduğunuzda, varsayılan olarak aşağıdaki resimde görebileceğiniz gibi C puanı alırsanız.
Şimdi SSL notumuzu nasıl A+ seviyesine çıkaracağımızı öğrenelim. Örnekleri anlatırken grafik arayüz yerine komut ekranını tercih edeceğim. Siz de sanal sunucu isimlerini değiştirip, direkt yapınızda test edip, uygulayabilirsiniz.
1- Citrix ADC için en son çıkan versiyona geçtiğinizden emin olarak, versiyon bazlı çıkabilecek güvenlik açıklarına engel olabilirsiniz.
2- Oluşturduğunuz sanal sunucular üzerinde TLSv1.2 ve TLSv1.3’n etkin olduğundan emin olunuz. TLSv1.2 ve TLSv1.3 etkinleştirmek için;
set ssl vserver vServer_Name -tls12 ENABLED -tls13 ENABLED
3- Sanal sunucular üzerinde SSLv3.0 ‘ı devre dışı bırakınız. SSLv3, POODLE saldırılarına karşı savunmasızdır ve aktif olduğu durumlarda test sonucu olarak C alırsınz. TLSv1 ve TLSv1.1 aktif olması durumunda test sonucunuzu B notu olarak etkileyecektir. TLSv1, TLSv1.1 ve SSLv3 ‘ü kapatmak için;
set ssl vserver vServer_Name -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED
4- Sertifika zincirinizin tamamlandığından emin olunuz. Sertifikalar her zaman son noktaya kadar güvenen biri (CA) tarafından imzalanmaz, çoğu zaman bir arabulucu CA tarafından da imzalanabilir. Sertifikalarınızı imzalayan, diğer bir deyişle sertifikalarınızn bütün Root sertifikalarını Citrix ADC ürününüze yüklediğinizden emin olunuz ve bu arkadaşları birbirleri ile linkleyiniz. Eksik bir sertifika zinciriniz olması durumunda SSL testinden B notu alırsınız.
5- AEAD, ECDHE ve ECDSA şifre paketlerini tercih eden yeni bir şifreleme grubu oluşturunuz. Eğer Citrix ADC üzerinde şifre paketlerini DEFAULT olarak bırakır iseniz, SSL testinden yine B notu ile sınırlandırılırsınız.
Yeni bir şifreleme paketi oluşturmak için;
add ssl cipher SSL_Cipher_2023
bind ssl cipher SSL_Cipher_2023 -cipherName TLS1.3-AES256-GCM-SHA384
bind ssl cipher SSL_Cipher_2023 -cipherName TLS1.3-AES128-GCM-SHA256
bind ssl cipher SSL_Cipher_2023 -cipherName TLS1.3-CHACHA20-POLY1305-SHA256
bind ssl cipher SSL_Cipher_2023 -cipherName TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
bind ssl cipher SSL_Cipher_2023 -cipherName TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
bind ssl cipher SSL_Cipher_2023 -cipherName TLS1.2-ECDHE-ECDSA-AES256-SHA384
bind ssl cipher SSL_Cipher_2023 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
6- Sanal sunucunuzda varsayılanda seçili olan DEFAULT şifreleme paketini devre dışı bırakınız ve oluşturduğumuz yeni şifreleme paketini sanal sunucunuza ekleyiniz.
unbind ssl vserver vServer_Name -cipherName DEFAULT
bind ssl vserver vServer_Name -cipherName SSL_Cipher_2023
bind ssl vserver vServer_Name -eccCurveName ALL
7- Sanal sunucularınızda Secure Renegotiation özelliğine izin verin. Secure Regegotiation, bir istemci-sunucu çiftinin mevcut bir SSL bağlantısı üzerinden yeni bir SSL el sıkışma dizisi gerçekleştirilmesini sağlar ve bunun Citrix ADC ile sertifika kimlik doğrulaması dahil olmak üzere çeşitli kullanımları vardır. Bu özelliği etkinleştirmeniz durumunda SSL testinden A- puanı alırsınız. Bu özelliği etkinleştirmek için;
set ssl parameter -denySSLReneg NONSECURE
8- HTTP Strict Transport Security özelliğini aktifleştiriniz. Diğer bir adıyla HSTS; kullanıcıların yaptıkları istekleri HTTPS kullanmaya zorlayıp, Downgrade adı verilen saldıralara karşı alınan bir önlemdir. Temel amacı trafiğin güvenliğini sağlamaktır. HSTS özelliğini etkinleştirmek için;
set ssl vserver vServer_Name -HSTS ENABLED -maxage 157680000
9- DHE paketlerine ihtiyacınız varsa bir DH anahtarı oluşturun ve sanal sunucunuza bağlayınız.
create ssl dhparam DH_Paket 2048 -gen 2
set ssl vserver vServer_Name -dh ENABLED -dhFile DH_Paket
Bu işlemlerden sonra artık yeni bir SSL testi yaptığınızda puanınızı A+ seviyesine çıkarmış olacaksınız.
Bununla birlikte SSL Labs testinin sadece bir fikir olduğunu ve ortamınızın güvenliği hakkında bilgi edinmek için güzel bir araç olduğunu unutmayınız.
