Netscaler 10.5 – LDAPS Monitor

Um auf einem Netscaler einen Monitor für einen klassischen LDAP Service bereitzustellen ist bereits ein Monitor vorhanden, dieser funktioniert allerdings nicht wenn LDAPS genutzt wird. Der konfigurierbare Secure-Flag auf den Monitor würde zwar die Kommunikation zum Dispatcher auf Secure umstellen, nicht aber die Anfragen durch das Perl Skript an den LDAP Server welche hier relevant sind.

Soll der LDAP Monitor einen LDAPS Service prüfen, ist er erforderlich das Perl Skript selber anzupassen.

Netscaler 10.5 – LDAPS Monitor weiterlesen

Netscaler Gateway: Customizing SmartAccess

Nach dem Artikel zum Anpassen der Beschreibungen vom CAG Logon Fenster hier noch ein paar Anpassungen um die Optionen vom SmartAccess zu beschränken.

Hierbei werden einmal Auswahlmöglichkeiten beschränkt, deren Beschreibung geändert und im Clientless VPN der Tab für Dateifreigaben ausgeblendet sowie die eigenen Bookmarks entfernt.
Getestet mit Netscaler 10.5 Build 50.9.nc

Netscaler Gateway: Customizing SmartAccess weiterlesen

Netscaler: SysLog mit Splunk

Nachdem ich mit Graylog2 ein paar Probleme hatte ihn stabil zu betreiben bin ich auf die freie Version von Splunk umgestiegen.

Auch hier leiß sich der Netscaler einfach einbinden und ein paar Suchen mit Graphen bauen. Leider läuft das im Netz verfügbare Netscaler AppFW Plugin nicht mehr, dies ist nur bis Netscaler Version 10.0 kompatibel, 10.1 und 10.5 funktionieren nicht 🙁 Neben dem Netscaler loggen noch meine WLan Access Points, die RZ Firewall sowie Switches mit rein, hier fehlen mir aber noch passende Visualisierungen. Bisher reichen mir die 500MB tägliches Logingvolumen der freien Version von Splunk locker aus.

splunk_utm

splunk_ns

Wenn noch jemand Tipps für nützliche Apps hat immer her damit 🙂

Netscaler: AppFW mit Graylog2

Aufgrund aktueller Themen mit der Netscaler Application Firewall hab ich mir auch mal meine Seiten, inklusive diesem Blog, hinter ein Netscaler mit aktiver AppFW gebaut.

Damit das ganze aber auch Spaß macht muss natürlich auch eine Auswertung her, also ein Syslog Server mit Auswertung und co., dabei ist mir der Graylog2 ins Auge gefallen, Open Source und damit für ein Test ideal.

Nach ein wenig gebastel mit der Installation läuft er auch und bekommt vom Netsclaer Logs geliefert, leider aber noch nicht im Syslog Format sondern noch als RAW, hier schaue ich noch das schöner zu bekommen. Aktuell meldet er hier die Messages wären nicht korrekt formatiert.

Sehr gut gefällt mir das Dashboard:
graylog2

Mal schauen wie sich die Notifys bauen lassen, Anleitung folgt sobald vollständig 🙂

Netscaler Gateway: Customizing

Will man nur ein paar Kleinigkeiten am Design der Gateway Logon Page ändern, wie z.B. die Beschriftung der Password-Felder, geht das sehr gut indem man rewrite-Regeln einbaut. Damit erspart man sich die ganze Page als Custom Design implementieren zu müssen und es ist über Reboots und Upgrades persistent.

Ein Beispiel, getestet mit Netscaler 10.1:
add rewrite action AD_replace_rewrite_action replace_all "http.RES.BODY(120000).SET_TEXT_MODE(ignorecase)" "\"AD Password\'\"" -pattern "\"Password\"" -bypassSafetyCheck YES -refineSearch q/extend(50,50).REGEX_SELECT(re![ ]*\'[ ]*\+[ ]*_\(\"Password\"\)[ ]*!)/

add rewrite action OTP_replace_rewrite_action replace_all "http.RES.BODY(120000).SET_TEXT_MODE(ignorecase)" "\"Token Code:\'\"" -pattern "\"Password2\"" -bypassSafetyCheck YES -refineSearch q/extend(50,50).REGEX_SELECT(re![ ]*\'[ ]*\+[ ]*_\(\"Password2\"\)[ ]*!)/

add rewrite action AD_delete_rewrite_action delete_all "http.RES.BODY(120000).SET_TEXT_MODE(ignorecase)" -pattern "document.write(\' 1\');" -bypassSafetyCheck YES

add rewrite policy AD_rewrite_pol "http.req.url.path.endswith(\"vpn/login.js\")" AD_replace_rewrite_action

add rewrite policy OTP_rewrite_pol "http.req.url.path.endswith(\"vpn/login.js\")" OTP_replace_rewrite_action

add rewrite policy AD_delete_pol "http.req.url.path.endswith(\"vpn/login.js\")" AD_delete_rewrite_action

bind rewrite global AD_rewrite_pol 80 NEXT -type RES_OVERRIDE
bind rewrite global OTP_rewrite_pol 90 NEXT -type RES_OVERRIDE
bind rewrite global AD_delete_pol 100 NEXT -type RES_OVERRIDE

Statt einem globalen Binding kann man natürlich auch pro vServer unterschiedliche Anpassungen vornehmen.

Wenn die Anpassungen nicht sofort sichtbar werden ruhig mal prüfen ob der Netscaler Caching aktiviert hat, dies hat mich einige Minuten Fehlersuche gekostet… 😉