SSL-Optimierung auf dem Citrix XenMobile Device Manager

„BEAST“, „Heart Bleed“ und „Shell Shock“ sind jetzt mehr oder weniger „Geschichte“. Mit „Poodle“ hat die Liste der Angriffsmethoden einen weiteren prominenten Neuzugang erhalten. Jetzt heißt es erneut prüfen, prüfen, prüfen und nochmals prüfen. Die Komponenten, die potenziellen Gefahren ausgesetzt sind, müssen ja „up-to-date“ sein und in Schuss gebracht werden. Grund genug für uns, die SSL-Einstellungen auf dem Citrix XenMobile Device Manager einmal genauer unter die Lupe zu nehmen.

Was ist „Poodle“?

„Poodle“, steht ausgeschrieben für “Padding Oracle On Downgraded Legacy Encryption“ und ist eine schwerwiegende Sicherheitslücke im SSL 3 Protokoll. Die „Poodle“-Sicherheitslücke ermöglicht es private Daten von Clients und Servern über verschlüsselte Verbindungen auszulesen. Im Endeffekt verbirgt sich dahinter ein klassischer „Man-in-the-Middle“-Angriff.

Eine detailliertere Beschreibung ersparen wir uns an dieser Stelle, da die einschlägigen Quellen derzeit alle mehr als ausreichende Informationen bieten.

Bestandsaufnahme des Citrix XenMobile Device Manager

Kommen wir nun zurück zum Standardsetup des Citrix XenMobile Device Manager. Um zu testen, welche Einstellungen derzeit gesetzt sind und wie diese bewertet werden, könnt ihr im Internet einen SSL-Test durchführen lassen. Wir nutzen hierfür gerne https://ssllabs.com. Im Rahmen dieses Tests werden dann allerhand Informationen überprüft und anschließend ein Bericht ausgegeben. Benotet wird nach dem Alphabet und das von A+ (d.h. = Hast du sehr gut gemacht!) bis F (d.h. = überarbeite lieber deinen Kompromiss aus Usability und Sicherheit!). In Ausnahmefällen gibt es auch noch weitere „Grades“ für das „Overall Ranking“. M steht zum Beispiel für ein „Mismatch“ des Zertifikatnamen. Das geht aus unserer Sicht gar nicht.

Das haben wir uns natürlich nicht nehmen lassen und möchten das an dieser Stelle in Ausschnitten einmal posten:

Grade Resultat von SSLLabs.com

Citrix XenMobile Device Manager SSL-Test auf SSLLabs.com Test Grade C

Aus unserer Sicht ist das viel zu wenig. Wir wollen ein glattes „A“ – mindestens! Natürlich gibt es aber auch hier immer mehrere Meinungen. Niemand kann dir sagen wie wichtig der Server ist, den du zu schützen versuchst. Oft ist es aber so, dass du noch mehr „rausholen“ kannst, wenn du an der einen oder anderen Schraube drehst. Klar ist aber auch, du sperrst dann veraltete Systeme aus. Wenn du also weiterhin Windows XP oder Windows Server 2003 bedienen möchtest, sei lieber mit einem „C“ zufrieden und lebe mit dem deutlich größeren Risiko. Falls nicht, guck mit uns unter die Haube.

Ok, ich gebe zu, dass das jetzt sehr schwarz oder weiß war. Alternativ kannst du natürlich auch genauer prüfen. Dazu empfehle ich dir, dass du dir einfach eine weitere Liste auf SSLLabs.com anguckst und prüfst, welcher Referenzbrowser benötigt wird und wie man diesen absichern kann. Diese Entscheidung sollte die Grundlage bilden, deine Cipher Suiten auszuwählen. Dazu aber gleich erst mehr.

Wie passe ich jetzt die Konfiguration des Citrix XenMobile Device Managers an?

Nachdem wir also durch „Poodle“ wissen, dass wir SSL V3.0 und SSLV2.0 besser deaktivieren sollten, wollen wir einfach damit starten und das auch tatsächlich „tun“. Hier kommt uns zu Gute, dass Citrix sich „Poodle“ auch bereits genauer angeguckt und die Thematik im Artikel CTX200238 beschrieben hat. Laut „Citrix Security Advisory“ kann man den Citrix XenMobile Device Manager mit dem folgenden Eintrag dazu zwingen, die angegeben Protokolle zu nutzen:

sslEnabledProtocols=“TLSv1.2,TLSv1.1,TLSv1″

Hierzu editieren wir einfach die Datei:

C:\Program Files (x86)\Citrix\XenMobile Device Manager\tomcat\conf\server.xml

 

Diesen Eintrag solltet ihr für die Connector mit Port „443“ sowie Port „8443“ setzen:

Tomcat Server.xml Anpassung auf Citrix XenMobile Device Manager

Citrix XenMobile Device Manager – Anpassung Tomcat Konfiguration, sprich der Server.XML

 

Im Anschluss muss der Citrix XenMobile Device Manager neugestartet werden. Genauer gesagt reicht auch ein Neustart des Dienstes „XenMobile Device Manager“, sprich des Tomcats aus. 🙂

 

Reload Tomcat Config via Serice-Restart

Citrix XenMobile Device Manager Dienst Neustarten, um die neue Konfiguration zu laden

 

Das kann übrigens unter Umständen schon ein bisschen dauern. Werdet auf jeden Fall nicht nervös, wenn das System nach 30 Sekunden noch nicht wieder problemlos rennt.

Kommen wir nun zu den Verschlüsselungsalgorithmen, sprich zu der Ciphers Suite. Die Cipher Suite legt im TLS Protokoll fest, welche Algorithmen zum Aufbau der Datenverbindung genutzt werden sollen. Jede Cipher Suite identifiziert dabei eine Kombination aus vier Algorithmen:

  • Schlüsselaustausch (RSA, DH)
  • Authentifizierung (RSA, DSA)
  • Hashfunktion (MD5, SHA)
  • Verschlüsselung (keine, RC4, DES, 3DES, IDEA, AES)

Die Spezifikation hierfür ist der RFC 2246 und legt bestimmte Cipher Sites fest, die unterstützt werden müssen (Quelle: Wikipedia).

Hier kann man durch verändern der Zusammenstellungen sehr gut beeinflussen was wie verwendet werden soll. In Kombination mit der weiter oben angesprochenen Clientliste, könnt ihr so also einen für euch optimalen Kompromiss aus Sicherheit und Usability zusammenstellen. Das hat ein bisschen etwas von „puzzeln“, funktioniert aber wunderbar.

Für die Eiligen unter euch, die sich das nicht gänzlich selbst angucken wollen, haben wir zwei Varianten – ohne Gewähr – zusammengestellt:

Variante 1 ohne RC4 (BEAST Attack):

ciphers=“TLS_RSA_WITH_AES_256_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,

TLS_RSA_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,

TLS_RSA_WITH_AES_256_CBC_SHA256,

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384″

Variante 2 wäre das Optimum “Forward Security” mit allen Referenzbrowsern:

ciphers=“TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA“

Solltet ihr das kopieren, bitte nach dem Komma keine Leerzeile lassen.

Konfigurieren von Cipher Suites auf dem Citrix XenMobile Device Manager

Konfigurieren von Cipher Suites auf dem Citrix XenMobile Device Manager

 

Sollte es zu Problemen kommen, könnt ihr natürlich auch in den Logfiles des Citrix XenMobile Device Manager nachschauen. Ihr findet die Logdateien unter folgendem Pfad:

C:\Program Files (x86)\Citrix\XenMobile Device Manager\tomcat\logs\

Im Fehlerfrei wird hier fleißig „rumgedumped“. 🙂

Sollte euch das ganze SSL-Thema noch brennender interessieren, empfehle ich euch noch den folgenden Artikel als „leichte Abendlektüre“: https://wiki.mozilla.org/Security/Server_Side_TLS

Zum Abschluss noch unser erzieltes „Overall Ranking“:

Overall Ranking Grade A

Citrix XenMobile Device Manager SSL-Test auf SSLLabs.com Test Grade A

.. und wir arbeiten gerade fleißig am „A+“.

 

Wie ist euer Ranking? ..und warum holt ihr nicht „mehr raus“? Wir freuen uns auf eure Kommentare! 🙂

Print Friendly, PDF & Email
2 Kommentare

Trackbacks & Pingbacks

  1. […] unabhängig davon noch reichlich an der Sicherheit schrauben kann, haben wir übrigens in einem Artikel zur SSL-Sicherheit auf dem Citrix Device Manager ganz gut […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.