Citrix Web App Firewall op Application Delivery Controller (Netscaler)

Zo wordt de lancering van een nieuw systeem wel een succes

Als verantwoordelijke voor een IT-project is het moment van in gebruik name van een systeem altijd een spannend moment. Manfred Rothfusz, Technisch Consultant bij Login Consultants, vertelt in deze blog hoe je vooraf performance en continuïteit van je nieuwe systeem kunt waarborgen.

Wachten op het oordeel

Als je een nieuw systeem in gebruik neemt, is het altijd maar de vraag hoe je gebruikers de verandering gaan ervaren en of de performance aan hun verwachtingen voldoet. Natuurlijk heb je het systeem getest, maar hoeveel functioneel beheerders en keyusers je ook bij de test betrekt, het is altijd afwachten wat het oordeel gaat zijn van de uiteindelijke, veel grotere, gebruikersgroep op het moment dat ze de nieuwe omgeving gaan gebruiken. Misstappen kunnen leiden tot veel kritiek en gezichtsverlies, zelfs tot in de media.

Pijnpunten blootleggen en verhelpen

Door gebruik te maken van grote groepen gesimuleerde medewerkers die gescripte werkzaamheden uitvoeren, kun je inzicht krijgen in de responsetijden die zij ervaren. Door die responsetijden te analyseren, kunnen pijnpunten in je ICT-infrastructuur worden blootgelegd en kan aan een oplossing worden gewerkt.

Geen gezichtsverlies

Zo hebben we bijvoorbeeld een grote overheidsinstelling behoed voor gezichtsverlies. Voordat de ingebruikname van haar nieuwe omgeving hebben we deze belast met duizenden gesimuleerde medewerkers. Tijdens de eerste test bleek dat bij zo’n dertig procent van die gesimuleerde medewerkers de omgeving zo traag reageerde dat werken onmogelijk werd. Als de medewerkers, zoals gepland, in kleine groepen gemigreerd zouden zijn, was er uiteindelijk een performanceprobleem ontstaan. Dan had men de migratie moeten stoppen en het probleem gaan onderzoeken, wat naar alle waarschijnlijkheid maanden had geduurd. Doordat er vooraf met gesimuleerde medewerkers getest is, kon het probleem aangepakt worden voor de lancering. Nadat de hardwarecapaciteit met zo’n vijftig procent was uitgebreid, werkte de test met de duizenden gesimuleerde medewerkers wel goed en kon de nieuwe omgeving zonder problemen in gebruik worden genomen.

Nieuw Elektronisch Patiënten Dossier

Een ander voorbeeld is de ingebruikname van één nieuw Elektronisch Patiënten Dossier (EPD) door twee universitaire ziekenhuizen. Het is onmogelijk om een nieuw EPD te gebruiken naast een bestaande, dus een bigbang-migratie was onvermijdelijk. Door duizend artsen, tweeduizend polimedewerkers, tweeduizend verpleegkundigen te simuleren en deze in twee uur tijd 25 duizend denkbeeldige patiënten te laten raadplegen – veel meer dan in de praktijk ooit voorkomt – werd duidelijk dat de performance en continuïteit gewaarborgd was. Dat gaf zoveel vertrouwen, dat het zorgde voor een Go vanuit de ICT-organisatie voor de migratie van het EPD.

Gokken is dokken

Mijn stokpaardje is ‘meten is weten, gissen is missen en gokken is dokken’. In de praktijk blijkt dit maar al te vaak te kloppen. Door vooraf met gesimuleerde medewerkers te testen kan de performance en continuïteit nauwkeurig in kaart gebracht worden. Deze aanpak bewijst zich niet alleen bij het in gebruik nemen van een nieuwe omgeving, maar ook bij bijvoorbeeld Microsoft updates, nieuwe versies van een transactiesysteem of van een bedrijfskritieke applicatie. Door te voorspellen laat de ICT-organisatie aan de gebruikersorganisatie zien dat ze in control zijn en wordt de kans op calamiteiten geminimaliseerd.

Benieuwd?

Nieuwsgierig geworden naar de kansen en mogelijkheden van dergelijke simulaties? Neem vrijblijvend contact met ons op. We denken graag met je mee.

 

Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler

Resterende Citrix fixes beschikbaar

De resterende permanente fixes voor de eerder geïdentificeerde kwetsbaarheid bij Citrix, zijn nu beschikbaar voor alle klanten.

Citrix-script beschikbaar voor controle op misbruik

Citrix heeft een script beschikbaar gesteld, waarmee je kunt controleren op misbruik of het compromitteren van de NetScaler

Meer informatie hierover kun je lezen in dit blog: Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781

Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script

Citrix heeft een fix uitgebracht voor de problemen met de NetScaler versies 11.1 en 12.0

https://www.citrix.com/downloads/citrix-adc/

In december heeft Citrix een ernstige kwetsbaarheid in NetScaler bekend gemaakt. Door dit beveiligingsprobleem kunnen kwaadwillende toegang krijgen tot het bestandssysteem van de NetScaler om zo gebruikers te besmetten met malware, ransomware aanvallen uit te voeren of botnet functionaliteiten toe te voegen.

Citrix heeft direct mitigatie maatregelen aangeboden. Nu blijkt dat deze niet effectief zijn voor alle release versies van NetScaler. Zit je op release 12.1 van NetScaler en is de buildversie 12.1 51.19 of lager dan is het mogelijk dat deze maatregelen niet of niet goed werken.

Ons advies:

  • Implementeer de mitigerende maatregelen zoals aangegeven door Citrix: https://support.citrix.com/article/CTX267679
  • Als je gebruik maakt van NetScaler release 12.1 en de build is 51.19 of lager, voer een upgrade uit naar de laatste versie van release 12.1

Als je vermoedt dat de omgeving al is aangevallen? Onderneem dan de volgende stappen

uit /var/log

  • log kijk naar commando’s die misbruikt kunnen worden zoals curl, hostname, uname, whoami of commando’s die gerund worden onder nobody
  • log, kijk hier naar verdachte activiteiten
  • log, httperror.log, hier staan de IP adressen van de aanvallers ingelogd, aangezien de aanval geschiedt over de web interface, zoek naar http log berichten waar /vpn in de directory traversal aanval staan

Zoek naar aangepaste bestanden in

  • /netscaler/portal/templates
  • /var/tmp/netscaler/portal/templates

Kijk naar de draaiende processen, specifiek of er niet verdachte “child” processen zijn, vooral draaiend onder nobody

Kijk of er cronjobs zijn met de eigenaar nobody