Citrix NetScaler... moeilijk uit te leggen!? Citrix NetScaler functionaliteit uitgelicht door Azlan Competence Center

Transcriptie

1 Citrix NetScaler... moeilijk uit te leggen!? Citrix NetScaler functionaliteit uitgelicht door Azlan Competence Center

2 Inhoud Inhoud 3 Voorwoord 5 Euh, waar hebben we het eigenlijk over? Wat is NetScaler? 7 Fysiek en virtueel 7 NetScaler Standard functionaliteit 9 Praktische toepassingen Citrix NetScaler 11 Content switching 14 Load optimalisatie 20 IPv6 26 Nog meer optimalisatie 26 Offloading TCP management 28 AppCompress... ofwel: zip-it! 30 Geen load is nog beter 32 Layer 7 content filtering 34 Meer over security 35 DoS attacks in soorten en maten 35 Security by obscurity 40 3

3 URL Transformation 42 SAML2 42 Management 43 AppExpert Templates 43 Netwerk analyse 44 ActionAnalytics 45 Visualisatie 45 Beschikbaarheid 46 NetScaler HA 46 Remote Access 48 Secure Gateway 48 Access Gateway 50 Nieuwe CAG 52 NetScaler uitproberen? 54 Meer kennis van Citrix NetScaler 55 Citrix NetScaler trainingen (Azlan Education) 55 Over de auteur 56 Inhoud 4

4 Voorwoord Recent gaf ik een presentatie op het TechData Partner Event 2013 over gratis software in het Azlan portfolio. Daar heb ik hele leuke reacties op gehad, met name m.b.t. producten zoals VMware Zimbra Open Source Edition, Veeam Backup Free, RES Software Baseline Desktop Analyser en Citrix XenServer Suite Free. In mijn zoektocht naar de gratis producten was het onvermijdelijk dat ik buiten mijn comfort zone moest treden. Met een sterke VMware virtualisatie en datacenter achtergrond is het tenslotte lastiger beoordelen of security, desktop en networking producten van andere leveranciers van voldoende kwaliteit zijn om op te nemen in mijn presentatie. Met wat hulp van collegae is het uiteindelijk een mooie selectie geworden, maar ik heb de moeilijkere producten wel achterwege gelaten. Het kostte me te veel tijd om me er in te verdiepen of het product was gewoon niet eenvoudig uit te leggen. Precies dát zorgde er dus voor dat ik de Citrix NetScaler VPX Express niet heb opgenomen in mijn presentatie, 5

5 terwijl werkelijk iedereen met kennis roept dat het één van de mooiste gratis producten is. Maar wat doet het dan? En hoe ga ik dat uitleggen in 5 minuten? Zowel vanuit mijn technische collega als het product management kreeg ik niet de input die mij in staat zou stellen om de Citrix NetScaler VPX Express te pitchen in 5 minuten. En dat heeft niet te maken met de kennis en kunde van mijn collegae: het blijkt gewoonweg heel lastig om te doen. fantastisch vinden, heeft dus een te hoge drempel voor leken om zich er überhaupt in te gaan verdiepen! Mijn trainers hart gaat harder kloppen, het schreeuwt ik wil dit veranderen, uitleggen en vertalen. En zie hier de vruchten van mijn werk. Rob van der Wel Technical Solutions Specialist Azlan Dat moet toch beter kunnen? was mijn eerste gedachte. Een product wat de kenners dus blijkbaar Voorwoord 6

6 Euh, waar hebben we het eigenlijk over? Wat is NetScaler? Laat ik beginnen met mijn motivatie om de Citrix NetScaler uit te lichten: Citrix NetScalers laten zich omschrijven als een Zwitsers zakmes voor het netwerk. Interessant voor partijen die hun netwerkverkeer willen versnellen, beveiliging reguleren, ontsluiten en hun achterliggende weben database-servers willen ontlasten van hun generieke taken. Gedurende mijn zoektocht kwam ik er achter dat een NetScaler in essentie geen product is, maar een platform. Citrix noemt het zelf ook wel The world s most advanced cloud network platform. Je koopt een fysieke machine of virtuele appliance (een voor geïnstalleerde virtuele machine) met daarop een besturingssysteem en een hoop software(opties) die ingeschakeld kan worden. Fysiek en virtueel De fysieke NetScalers zijn 1 of 2U grote hardware appliances en worden MPX of SDX genoemd. De virtuele NetScalers zijn te herkennen aan de benaming VPX. MPX appliances zijn fysieke servers waarbij de hardware specifiek geschikt om bijvoorbeeld SSL offloading te doen. De hardware is specifiek gemaakt / geschikt voor het NetScaler operating system. De SDX appliances zijn ook fysieke hardware appliances, alleen bevatten deze Citrix XenServer 7

7 technologie met daarop de mogelijkheid om meerdere VPX instances te draaien. Hardware is gelijk aan MPX, verschil zit in de software, licentie en virtualisatie laag. Dit laatste geeft de mogelijkheid om met één enkele fysieke server, diensten aan meerdere klanten te leveren, maar ook om meerdere versies van NetScaler VPX-en naast elkaar te draaien. De inzet van de NetScaler bepaalt welke software je inschakelt en configureert en daarmee dus de functionaliteit. Alle functionaliteit kan in principe simultaan gebruikt worden en afhankelijk van de logische plaatsing van de NetScaler maakt dat bepaalde functies mogelijk. NetScalers zijn netwerk appliances met veelal één of meerdere netwerkaansluitingen. Configuraties vanaf één tot veel netwerkinterfaces zijn mogelijk, in geval van stacked configuraties (TriScale technologie) tot zelfs honderden aansluitingen. Je selecteert een appliance afhankelijk van de gewenste functionaliteit, het aantal netwerk connecties en gewenste doorvoer snelheid. Deze appliances verschillen van elkaar door andere CPU( s), geheugen, opslag en connectiviteit. Een volledig overzicht van alle appliances inclusief de VPX is hier ( te vinden. Euh, waar hebben we het eigenlijk over? Wat is NetScaler? 8

8 NetScaler Standard functionaliteit Omdat iedere organisatie zijn eigen infrastructuur, voorzieningen en behoeften heeft, zie je ook dat een ieder zijn eigen keuze maakt in het benutten van de mogelijkheden van de NetScaler. Naast basis functionaliteit, die je sowieso van een netwerkappliance van deze klasse mag verwachten, zal ik mij in dit artikel met name richten op onderstaande toepassingen en voordelen. Deze selectie is met name gebaseerd op de features die gelicentiëerd kunnen worden op een NetScaler Standard license. Applicatie beschikbaarheid -- Load balancing voor server-, webapplicaties en databases -Content - switching -- Global Server load balancing (GSLB) Applicatie performance improvements & management -TCP - optimalisaties -- Offloading voor webapplicaties en databases -HTTP - compressie (AppCompress) Applicatie beveiliging -- Layer 4 DoS defenses -- Layer 7 content filtering 9

9 -HTTP/URL - rewrites -- SSL VPN en ICA proxy (Access Gateway) -Auhenticatie - management (SAML2 support) Management -- Applicatie monitoring en rapportage (AppFlow generator) -- Geïntegreerde Citrix XenApp/ XenDesktop Web Interface Kostenbesparing door optimalisatie: -- Licentie / connectie efficiency (TCP en SQL multiplexing) -- Traffic optimalisatie (TCP buffering) -- Backend applicatie optimalisatie (SSL offloading) Naast de Citrix NetScaler Standard features benoem ik hier en daar ook beknopt Enterprise functionaliteit, met name waar dat goed in het verhaal past. Om echter deze Citrix NetScaler introductie zo effectief mogelijk te maken (en daarmee dus niet -té- complex) heb ik als hoofdfocus gehad om de functionaliteit van een NetScaler Standard op toepassingsniveau inzichtelijk te maken. NetScaler Standard functionaliteit 10

10 Praktische toepassingen Citrix NetScaler Applicatie beschikbaarheid behelst in het geval van NetScaler de technieken die het mogelijk maken (server) applicatie de minimale uptime te geven die gewenst is. Maar het heeft ook zeker te maken met verdeling van de load over infrastructuur componenten waardoor de applicatie betrouwbaarheid, responsetijd en stabiliteit toenemen. NetScaler kan veel betekenen op het gebied van de load distributie en load balancing. Het verschil tussen load distributie en load balancing kan het beste omschreven worden door de begrippen afzonderlijk uit te leggen. Bij load balancing wordt gestreefd naar een evenredige verdeling van resource-gebruik over de beschikbare infrastructuur componenten. In het geval van loaddistributie hoeft de load niet persé evenredig te worden verdeeld, maar wordt de load inhoudelijk bekeken en op basis van de inhoud verdeeld over de infrastructuur. Regels en filters die hierbij gehanteerd worden kunnen statisch en dynamisch zijn en geheel naar wens geconfigureerd worden. 11

11 Load Balancing Het uitbalanceren van de load verdeling kent bepaalde beslissingsfactoren. De NetScaler biedt mogelijkheden om enorm veel factoren mee te laten wegen in de beslissing, denk dan aan cpu load, memory activiteit, uptime, netwerk monitoring en andere informatie die via bijvoorbeeld WMI, SNMP en dergelijke uit te lezen is. Het is zelfs mogelijk om een gebruiker op de backend te simuleren en op basis van de uitkomst (respons times, latency) de keuze te maken. Software die hier gebruik van kan maken zijn database producten (Oracle MySQL, Microsoft SQL Server), webservers (Microsoft IIS, Apache, TomCat) maar ook remote services (RDP/RDC/Terminal Services) en elementaire diensten als file- en printservices. Praktische toepassingen Citrix NetScaler 12

12 Voorbeeldscenario: Content Switching APP1 Mstsc/rdC RDC Server APP2 Client Netscaler RDC Server APP2 On demand nieuwe server uitrol, bijvoorbeeld met Citrix Workflow Studio RDC Server 13

13 Content switching Load distributie kan ingezet kan worden bij het bekijken van de inhoud van de datastream en op basis daarvan netwerk verkeer te dirigeren naar de juiste backend server/service. In het diagram hiernaast staat een voorbeeld scenario uitgewerkt waarbij een tweetal remote desktop servers (Terminal Services / RDP / RDC) in de backend staan, die van elkaar verschillen. De eerste server biedt applicatie 1 (APP1) aan en de tweede applicatie 2 (APP2). Zonder de NetScaler er tussen zou een client op beide servers in moeten loggen om zowel bij APP1 als APP2 te kunnen. De NetScaler creëert echter één enkel loket (NetScaler Virtual Server) waarmee de client zijn connectie opzet en van daaruit wordt het verzoek voor de applicatie doorgestuurd naar de backend server van toepassing. De intelligentie van het monitoren van de backend kan in dit geval zelfs nog verder ingezet worden, om bijvoorbeeld waar te nemen dat de server die APP2 aanbiedt overbelast is en aan de hand daarvan besluiten een derde RDC server uit te rollen. Dit kan met bestaande uitrol technieken, maar er is ook directe integratie met Citrix Workflow Studio. Praktische toepassingen Citrix NetScaler 14

14 MySQL queries Gedistribueerde database Client Welke servers kunnen de query beantwoorden? Klanten A-K MySQL Servers Client Netscaler Klanten L-Z MySQL Servers Client 15

15 In het kader van load distributie is het ook goed om een geheel ander voorbeeld te geven, zoals in het diagram op pagina 15. Aan de backend kant is een gedistribueerde database aanwezig, waarvan alle componenten dubbel uitgevoerd zijn omwille van redundantie. De servers hebben allen een deel van de database, om zo de load te kunnen verdelen. De NetScaler gaat zich aan de voorkant presenteren als één enkele database server en gaat alle query s die binnenkomen monitoren en ontleden. Zo kan de NetScaler uit de query s halen voor welke servers de query s bedoeld zijn en ze dus de juiste kant op dirigeren. Load distributie dus. Praktische toepassingen Citrix NetScaler 16

16 Global Server Load Balancing (GSLB) IIS Netscaler Client Internet Nederland Verenigde Staten IIS Netscaler 17

17 Geografische verdeling Het is ook mogelijk om de NetScaler in te zetten voor Global Server Load Balancing, waarbij het netwerkverkeer naar servers in de backend, door de NetScaler gedirigeerd wordt naar de meest optimale lokatie. Hierbij mogen de backend servers dus gedistribueerd opgesteld staan over meerdere geografische lokaties. Stel dat de client vanaf een US netwerk de webapplicatie wil gebruiken, zal de NetScaler op basis daarvan de afhandeling kunnen laten verrichten op het cluster in de US. Zit de client bijvoorbeeld in Rotterdam, dan zal deze waarschijnlijk op de Nederlandse servers terecht komen. Waarschijnlijk, want het is mogelijk om ook andere factoren mee te laten wegen, zoals fysieke load en/ of health status van één van de omgevingen. Dit concept wordt GSLB genoemd, zie het uitgewerkte scenario hiernaast. Praktische toepassingen Citrix NetScaler 18

18 TCP Multiplexing Client HTTP TCP Client TCP TCP Server TCP Client TCP TCP Netscaler TCP HTTP Client Server Client 19

19 Load optimalisatie Load optimalisatie kan door de NetScaler onder andere gedaan worden door middel van offloading. Een vorm van offloading die de NetScaler kan uitvoeren is bijvoorbeeld TCP multiplexing (l4 load balancing). Een voorbeeld hiervan is uitgewerkt in het diagram hiernaast. Een tweetal servers met een webapplicatie die luistert naar http requests worden naar de buitenwereld gepresenteerd (door de NetScaler) als één enkele server (loket). De clients maken connectie met het uniforme loket op de NetScaler en de NetScaler verdeelt de TCP pakketten over de twee backend servers. Ongeacht het aantal verbindingen van clients, consolideert de NetScaler alle TCP client connecties tot een tweetal TCP server connecties. Hiermee worden de backend servers ontzien van de TCP overhead waarmee aanzienlijke besparing gemaakt kan worden op CPU en memory. Het besparen op CPU/memory is niet alleen een performance verbeteraar, maar ook zeker een kostenbesparing, bijvoorbeeld als de backend servers dure software draaien die per CPU gelicentieerd wordt. Praktische toepassingen Citrix NetScaler 20

20 Voorbeeld scenario: Citrix AppXpert Rate Controls Webserver Internet Client Netscaler Wat moet ik voorrang geven op de webserver? PDF Movie L7 QoS applicatie traffic shaping Booking 21

21 Prioritering Een andere vorm van load optimalisatie en load distributie biedt de NetScaler door middel van Citrix AppExpert Rate Controls. Als je het marketing schilletje van deze technologie afpelt zou je het ook kunnen omschrijven als application traffic shaping. Okay, genoeg marketing en techniek: wat kan je ermee? In het diagram hiernaast een scenario visualisatie, waarbij de backend server(s) websites host met een diversiteit aan content. Kleine en grote PDF bestanden, streaming audio/video en een booking webapplicatie. Stel dat deze klant een reisbureau heeft, de PDF s zijn de reisgidsen, de streaming content is marketing video materiaal en het booking-systeem is voor het daadwerkelijk verwerken van boekingen van reizen. Natuurlijk wil het reisbureau dat iedere bezoeker de filmpjes kan kijken en met hoge snelheid de PDF s kan downloaden. Echter, met het boekingssysteem wordt het geld verdiend. Als er dus een verdeling gemaakt moet worden, zal de booking applicatie altijd voorrang moeten krijgen in het verdelen van de beschikbare bandbreedte en resources. De NetScaler kan dit onderscheid maken en er, via filtering van de datastream, policies op los laten. Ofwel, en daarmee wordt het wellicht nog duidelijker: Quality of Service (QoS) op laag 7 van het OSI model, de applicatielaag. Praktische toepassingen Citrix NetScaler 22

22 Voorbeeld scenario: Citrix AppXpert Rate Controls USENET PROVIDER Client A MET 10Mbps abo NNTP server Client Internet Netscaler Client A QoS10Mbps Deze client heeft maar recht op 10Mbps en 8 threads! L7 QoS applicatie traffic shaping CRM 23

23 In het scenario hiernaast op pagina 23 heb ik nog een toepassing uitgewerkt. Stel je bent een usenet (nieuwsgroepen) provider, die abonnementen verkoopt met een maximale doorvoersnelheid (bandbreedte) naar de nieuwsservers. Veel partijen als Eweka, EasyUseNet, TweakNews en dergelijke doen dit zo. Linksom of rechtsom zullen zij ervoor moeten zorgen dat je de maximale bandbreedte waarvoor je betaalt ook krijgt. Maar waar heeft de client voor betaald? Dat is wellicht vastgelegd in een CRM(achtige) applicatie. De NetScaler kan de informatie over de toe te passen regels ophalen uit een CRM applicatie om deze vervolgens toe te passen op de NNTP sessie die opgezet wordt. In dit voorbeeld een zogenaamd cap van 10Mbps. Praktische toepassingen Citrix NetScaler 24

24 IPv6 Translation AUTOMATISCHE TRANSLATIE Client Client IPv4 netwerk IPv6 netwerk Netscaler Server Server 25

25 IPv6 IPv6 support. Jawel, ook IPv6 support is belangrijk om aan te halen bij de NetScaler. Natuurlijk verwacht je van zo n netwerk appliance dat management van en deelname aan een IPv6 netwerk vanzelfsprekend is. En dat is het ook! Het IPv6 support van de NetScaler gaat echter veel verder dan alleen client spelen. en andersom. Een situatie die nu en de komende jaren bij veel eindgebruikers voor zal komen: een deel van het netwerk is IPv6 en een deel (nog) IPv4. Dat kan voortkomen uit een migratie scenario, maar ook vanwege compatibiliteits en kostenoverwegingen. De NetScaler kan dit soort trajecten pijnlozer maken, zie diagram. Een NetScaler kan namelijk ook automatische vertaling doen van IPv4 verkeer naar IPv6 verkeer Praktische toepassingen Citrix NetScaler 26

26 27

27 Nog meer optimalisatie Optimalisatie kunnen we bereiken op veel vlakken. De NetScaler geeft ons mogelijkheden om technische optimalisatie te bereiken, op netwerk/protocol en infrastructuur niveau. Dit levert echter vaak ook optimalisatie aan de kosten kant op. Door het offloaden van verbindingen of stromen te consolideren, hoeft de backend minder hard te werken of kan deze efficiënter ingezet worden. En zeker als de software in de backend bijvoorbeeld gelicensieerd is per fysieke CPU, dan is de ROI berekening voor de inzet van een NetScaler vaak eenvoudig. Praktische toepassingen Citrix NetScaler 28

28 TCP optimalisatie Web Client Web Server Client Internet TCP packet size = 8kb Netscaler TCP packet size = 64kb 29

29 Offloading TCP management Het is goed om te realiseren dat een end-to-end TCP communicatie een aantal uitdagingen kent. Er vindt tussen de source en destination een negotiation plaats met betrekking tot de packetsize. Deze negotiation vindt plaats door middel van trail-n-error, dus de transmissies beginnen met kleine packets en de packets worden steeds groter naarmate de bandbreedte dit toestaat en de acknoledgements binnen blijven komen. Dit proces, tot aan de maximale bandbreedte, noemen we TCP slowstart ( en.wikipedia.org/wiki/slow-start). Zodra de maximale bandbreedte bereikt is vindt er packetloss plaats en TCP congestion control ( en.wikipedia.org/wiki/congestion_ window) halveert direct de packet (window) size en het spelletje begint opnieuw. Het ziet er dan ongeveer zo uit: Traffic volume Ongebruikte bandbreedte Bandbreedte limiet Stel je de situatie voor waarbij je een webapplicatie ontsluit via internet aan gebruikers. Deze webapplicatie communiceert met name via TCP. Zonder de NetScaler er tussen zal er een flinke hoeveelheid bandbreedte Tijd verloren gaan aan de TCP sessies en zeker in het geval van HTTP, omdat daar steeds nieuwe sessies opgezet worden welke ook weer worden afgesloten. De NetScaler kan opgenomen worden als man-in-the-middle van de tcp verbindingen en presenteert zich in- en extern als het loket voor de TCP sessie. Door te bufferen is het mogelijk om aan de binnenkant (backend servers) een andere packet size overeen te komen dan aan de buitenkant (client zijde). Er vinden dan minder acknowledgements plaats op de backend servers en we verliezen daar ook minder networking- en computing resources. Praktische toepassingen Citrix NetScaler 30

30 Citrix AppCompress Hey, een Word document, compressen met die handel! Client Netscaler Server 1 MB mydoc.docx 10 MB mydoc.docx 31

31 AppCompress... ofwel: zip-it! Een andere vorm van optimalisatie is compressie: Citrix AppCompress. Eindelijk eens een toepassing die eenvoudig uit te leggen is: zippen of rarren. En in essentie is dat wat de NetScaler inline en op een intelligente manier kan doen met uncompressed data. Bedenk dat zoiets zeer zinvol kan zijn voor bijvoorbeeld Sharepoint of Outlook Web Access (OWA). Zie hiernaast het voorbeeld met een Sharepoint server die een MS Word document ongecomprimeerd aanbiedt. Als de webserver/webapplicatie niet in staat is zelf te comprimeren (of als deze zelf wel in staat is, maar je wilt die CPU load er niet hebben) kunnen op de NetScaler regels en filters ingesteld worden. Door middel van deze spelregels kan bepaald worden, welke bestanden, typen, formaat, reeds aanwezige compressie en dergelijke, gecomprimeerd kunnen en moeten worden. Het samenstellen van deze spelregels kan overigens best complex worden, vandaar dat Citrix door middel van Citrix AppExpert Templates al een set van spelregels voor veelgebruikte applicaties beschikbaar stelt. Later meer over AppExpert Templates. Praktische toepassingen Citrix NetScaler 32

32 Citrix AppCache Hey, dat bestand kreeg ik snel! Hey, een PNG, die ga ik cachen Client Netscaler Server From cache No cache 33

33 Geen load is nog beter Veelal worden webapplicaties niet ontwikkeld met de meest optimale netwerk stroom voor ogen. Functionaliteit, responsiveness, frameworks, compatibility, extensibility staan veel hoger op het lijstje van de webdeveloper. Om die reden zijn maar weinig websites en webapplicaties in staat om goed om te gaan met (browser) caching. Om dit probleem op te lossen kan je, je raadt het al, een NetScaler inzetten :)... de NetScaler kan als man-in-the-middle caching doen voor backend servers. Een caching proxy on steroids. En de steroids slaan dan met name op het feit dat je nu in staat bent om spelregels voor caching op de NetScaler te definiëren, onafhankelijk van webapplicatie functionaliteit. We noemen dit Citrix AppCache. Bedenk dan als voorbeeld dat de plaatjes in een website maar eenmalig van de backendserver hoeven te worden gedownload bij aanvraag van de eerste client (browser). De volgende client wordt voorzien vanuit de NetScaler cache. Welke bestanden wel en welke niet, wat is de retentie tijd van cache bestanden, allemaal zaken die in spelregels vastgelegd kunnen worden. Spelregels die wederom al een voorzet kunnen krijgen vanuit de Citrix AppExpert Templates. Daarnaast is de NetScaler ook uitstekend in staat als generieke caching proxy te dienen voor het ontlasten van de (internet)verbinding vanaf de client zijde. Praktische toepassingen Citrix NetScaler 34

34 OSI model Data Application Data Presentation Data Session Segments Transport Packets Network Frames DataLink Bits Physical 35

35 Layer 7 content filtering Traditionele firewalls opereren veelal op IP level (Layer 3) en TCP/UDP (layer 4). Het is dan vrij eenvoudig mogelijk om verkeer toe te staan naar een bepaald IP adres/reeks of een bepaalde dienst zoals FTP (port 21) al dan niet op een zeker IP adres. Het wordt anders (lastiger) als op één webserver meerdere websites gehost worden, welke niet allemaal toegestaan mogen worden door de firewall. Het is namelijk hetzelfde IP adres en hetzelfde portnummer. Dat is precies wat layer 7 content filtering in de NetScaler dus wél kan. Sterker nog: gebruiker A vanaf netwerk B, mag wel bij html maar gebruiker A vanaf netwerk C mag niet bij filmpjesnietgeschiktvoorwerk.html. Jammer hè ;) Praktische toepassingen Citrix NetScaler 36

36 Meer over security Sommige security features kunnen ook duidelijk uitgelegd worden als beschikbaarheids features. Tenslotte kan een gebrek aan beveiliging de beschikbaarheid van de omgeving danig beïnvloeden. Dit gaat bijvoorbeeld op voor Denial-of-Service attacks ( Denial-of-service_attack), zogenaamde DoS aanvallen. Specifiek op laag 4 is de NetScaler in staat om te beschermen tegen dit soort aanvallen. DoS attacks in soorten en maten Om te begrijpen wat NetScaler kan doen, is het toch nodig even een voorbeeld te geven van een DoS attack. Een website of webapplicatie kan bijvoorbeeld de dupe worden van een Syn flood. De server wordt bestookt met TCP/Syn pakketjes die vragen om Syn acknowledgements. Omdat degene die de DoS aanval doet meestal niet bekend wil zijn/ worden, worden de Syn acks niet verstuurd naar het correcte adres en de TCP sessie blijft dus half open staan. Het aantal van die half open sessies is beperkt op een server, de tabel waar dit in bijgehouden wordt raakt op een gegeven 37

37 moment verzadigd. Doordat de tabel verzadigd is worden legitieme verzoeken niet meer afgehandeld en is de DoS een feit. Als de NetScaler als man-in-themiddle aanwezig is tussen de backend server(s) en de client(s), dan vinden de syn-->syn-acks-- >acks plaats tussen zowel de client als de NetScaler als tussen de NetScaler en de servers. Dus niet meer direct van client naar server. De procedure tussen de NetScaler en de servers wijzigt in feite niet. Tussen de NetScaler en de client injecteert de NetScaler een stukje data (hash) in de syn header, zodat de acknowledgement die daarop volgt (in het geval van een legitieme sessie) herkenbaar is. Omdat de acknowledgement geidentificeerd kan worden hoeft pas na het verkrijgen van de acknowledgement de tabel (buffer) te worden geupdate. Aangezien bij een (D)DoS nooit een acknowledgement binnen gaat komen, komt die informatie ook nooit in de tabel en ontstaat er dus geen probleem. Deze functionaliteit staat standaard aan op een NetScaler. Meer over security 38

38 L4 (D)Dos defence Web client Web server Client Internet SYN SYN ACK (+data hash) ACK (+data hash) Netscaler SYN SYN ACK ACK 39

39 Ook op laag 7 kan de Citrix NetScaler tegen DoS beschermen. Dit is overigens geen functionaliteit uit de NetScaler Standard (volgens de datasheet dam/citrix/en_us/documents/ products/netscaler-data-sheet. pdf), maar de link met de uitleg van hierboven is te mooi om em niet te maken. Als de NetScaler als man-in-the-middle gebruikt wordt ter bescherming van aanvallen op applicatie niveau, wordt in feite de feature AppExpert Rate Controls gebruikt (applicatie QoS). Voor een database kan dus gezorgd worden dat de database server bijvoorbeeld per client, per database, per tabel, per user (enz) een beperkte instelbare hoeveelheid select statements kan afhandelen. Idem voor een web server, dns server, fileserver, enz... En Citrix maakt deze feature nog mooier door deze te combineren met Citrix ActionAnalytics ( com/products/netscaler-applicationdelivery-controller/features/visibility. html) (wordt later behandeld). Dit maakt het mogelijk om de waarden waarmee AppExpert Rate Controls kan beschermen tegen (D)DoS aanvallen, dynamisch in te stellen. Geen statische tresholds meer nodig en dus ook minder kans op false positives. Meer over security 40

40 HTTP Rewrite Web client Client Internet Server: ZegIkNiet-LekkerPuh (header info) Netscaler Server: Microsoft-IIS/8.0 (header info) 41

41 Security by obscurity In termen van security is security by obscurity een bekende uitspraak. Wat men niet weet of begrijpt, kan men ook minder makkelijk misbruiken. Het is dus zaak zoveel mogelijk informatie bij potentiële hackers weg te houden. Helaas zijn veel backend server zo ingesteld dat ze meer informatie prijsgeven dan strikt noodzakelijk. Zo geeft een webserver vaak in de server headers weg wat de gebruikte software en softwareversie is. Een header check op levert bijvoorbeeld Server: Microsoft-IIS/8.0 op. Met een tool als com/ is het in theorie mogelijk om vrij eenvoudig naar de vulnerabilities te zoeken en direct misbruik van te maken (ik wil overigens zeker niemand op ideeën brengen, laat dat duidelijk zijn). NetScaler wederom als man-in-themiddle kan de headers strippen van deze informatie en zelfs vervangen door alternatieve informatie, zoals unspecified. Natuurlijk kan je dat op veel webservers zelf ook, maar als de webserver onderdeel is van een andere applicatie of draait op een appliance (tegenwoordig heeft iedere router/switch/modem en broodrooster een webinterface) dan is dat lastiger. Daarnaast: hoe makkelijk is het om het vergeten in te stellen op een nieuwe server of device. NetScaler ertussen, configureren en de HTTP Rewrite voor je backend servers is een feit. Meer over security 42

42 URL Transformation deelvandewebsite.html deelvandewebsite.html Client Internet herschrijf en presenteer realtime als deelvandewebsite.html Netscaler presenteer als deelvandewebsite.html 43

43 URL Transformation In het kader van websites kan de NetScaler ook aan URL transformation doen. Een webapplicatie die bijvoorbeeld geschreven is met absolute paden naar de domeinnaam www. oudedomeinnaam.nl kan je niet zomaar aanpassen naar www. nieuwedomeinnaam.nl. Tenminste, niet altijd. Wederom: NetScaler er tussen, configureren en de NetScaler gaat alle paden die extern die webapplicatie benaderen, realtime herschrijven, waardoor de buitenwereld helemaal denkt dat de website functioneert als www. nieuwedomeinnaam.nl. SAML2 Als laatste gave security toepassing nog even de aandacht voor SAML2 ondersteuning. SAML2 is het best te beschrijven als een standaard protocol waarmee authenticatie en authorisatie tussen meerdere sites (logische domeinen) plaats kan vinden. In deze architectuur kennen we Identity Providers (IP) en service providers (SP). Een Microsoft Active Directory zou bijvoorbeeld een identity provider kunnen zijn, waar alle accounts en bijbehorende rechten opgeslagen worden. SalesForce zou dan als Service Provider gebruik kunnen maken van de Identity Provider, waardoor het mogelijk wordt om met je AD account te authenticeren op de clouddienst SalesForce. Citrix NetScaler kan zowel ID als SP spelen hetgeen in hybride cloud omgevingen erg prettig kan werken, aangezien de NetScaler veelal toch al logischerwijs de schakel kan zijn tussen private en public cloud componenten. Meer over security 44

44 45

45 Management Voor het beheer van netwerk en netwerkstromen kent de Citrix NetScaler vele management features. Teveel om ze allemaal te behandelen, maar ik pik de (mij) meest opvallende er even uit. Sommige hiervan zijn al een paar keer genoemd: Citrix AppExpert Templates. Ik noemde ze al bij AppCache en AppCompress. AppExpert Templates In feite zijn AppExpert Templates sets van best practices die in een template ondergebracht zijn. De template kan aangeleverd worden door Citrix of Citrix partners (Citrix validated templates) zoals Cisco, maar Citrix werkt ook heel hard aan een community voor het bouwen en onderhouden van templates. Een andere uitleg die je aan AppExpert Templates zou kunnen geven, is dat het XML building blocks zijn om een omgeving versneld op te zetten. Je kan ze namelijk ook zelf maken. Als je dus een ISV bent met een eigen (web)server applicatie, dan is het mogelijk om zelf de meest optimale instelling al aan te leveren in een Template. Tot nu toe ben ik super enthousiast Management 46