Avis : Le firmware NetScaler 13.0 arrive à sa fin de vie

Qu’est-ce qui se passe?

Le firmware 13.0 de NetScaler (brièvement connu sous le nom de Citrix ADC) est officiellement en fin de vie (EoL) depuis le lundi 15 juillet 2024. Au-delà de cette date, les déploiements NetScaler fonctionnant sous la version 13.0 ne sont plus admissibles au support fournisseur. NetScaler 13.0 n’est également pas obligé de recevoir des correctifs de sécurité via de nouvelles versions de micrologiciels.

Que devraient faire les clients?

Les clients qui utilisent encore le firmware NetScaler 13.0 (y compris leur bundle SDX) devraient prévoir immédiatement de passer au firmware NetScaler 13.1 ou 14.1 afin de restaurer leurs déploiements à un état supportable et rester admissibles aux correctifs de sécurité et stabilité ainsi qu’aux mises à jour de fonctionnalités.

Lorsque possible, NetScaler 14.1 serait une cible idéale pour la plupart des clients souhaitant accéder aux nouvelles fonctionnalités.

Selon la documentation des notes de version de NetScaler, la dernière version du firmware NetScaler 13.0 au moment de cet avis est la 92.31, publiée le 9 juillet 2024. Cette version a abordé les vulnérabilités de sécurité décrites dans CTX677944, CTX677998 et CTX678072. Les clients qui ne peuvent pas passer à une version du firmware prise en charge devraient, en attendant, s’assurer de passer à cette dernière version 13.0 dès que possible afin de corriger ces vulnérabilités de sécurité.

Y a-t-il des considérations liées à la migration?

La transition hors NetScaler 13.0 comporte plusieurs considérations qui pourraient nécessiter une planification minutieuse, incluant, mais sans s’y limiter, les suivantes :

• Les expressions classiques de politique restent dépréciées, carrément non prises en charge ou supprimées pour certaines fonctionnalités. L’outil nspepi peut aider à identifier et à convertir les polices concernées
• Certaines fonctionnalités reposant sur des politiques classiques ne sont plus prises en charge à partir de la version 13.1, ayant été dépréciées lors des versions précédentes du micrologiciel, et doivent être migrées vers des fonctionnalités équivalentes alternatives supportant des expressions de politique avancées
• Les politiques d’authentification de base (et celles liées directement aux vServers Gateway Citrix) sont dépréciées et doivent être transférées à une authentification avancée (nFactor) avec des vServers AAA-TM. Bien qu’ils puissent continuer à fonctionner, le soutien peut être le meilleur effort puisqu’ils ne sont pas recommandés
• Les expressions classiques de politique sur les politiques de session demeurent dépréciées et devraient passer à des expressions de politiques avancées. Cela implique de recréer les politiques de session (les profils peuvent être réutilisés), de délier toutes les politiques de session à l’aide d’expressions classiques de tous les vServers ou groupes AAA de l’appareil, et de lier les politiques de remplacement à ces objets
• Les balayages d’analyse des terminaux (EPA) définis en session devraient passer à des politiques d’authentification avancées
• Les thèmes de portail utilisés sur NetScaler (Citrix) Gateway ou les vServers AAA-TM, autres que les thèmes basés sur RfWebUI, ne sont pas pris en charge. Si vous utilisez un thème intégré comme Greenbubble, X1 ou Default ou un thème personnalisé basé sur ceux-ci, ils ne sont pas pris en charge sur la version 13.1 et ultérieure, car les thèmes basés sur RfWebUI sont nécessaires pour diverses fonctions d’authentification avancée
• Dans NetScaler 14.1, la configuration des paramètres SSL directement sur les vServers est dépréciée. Bien qu’il reste fonctionnel, la possibilité de le faire pourrait être supprimée dans une prochaine version du micrologiciel. NetScaler encourage ses clients à adopter des profils SSL, qui sont une façon plus pratique et centralisée de contrôler les paramètres SSL sur plusieurs vServers et de minimiser les erreurs humaines pouvant involontairement créer des configurations SSL/TLS moins sécurisées

L’outil de vérification « préconfiguration » de NetScaler 13.1 ou 14.1 peut aider à évaluer la présence de fonctionnalités dépréciées ou retirées afin d’aider à la planification de la migration et à déterminer quels ajustements de configuration pourraient nécessiter une mise à jour avant de tenter une mise à jour. Certaines configurations classiques de politiques peuvent être automatiquement migrées pendant la mise à jour, mais doivent être testées en profondeur après la mise à niveau pour s’assurer qu’elles sont fonctionnelles.

Liens supplémentaires :

• Citrix TIPS : Abandon des fonctionnalités ADC Citrix dépréciées pour la passerelle Citrix
• FAQ sur la dépréciation de politiques classiques
• Avis de changement de statut de Netscaler pour les fonctionnalités et fonctionnalités classiques basées sur les politiques
• GitHub NSPEPI Configuration Checker
• Considérations de mise à niveau pour les configurations avec les politiques classiques

Nous sommes là pour aider

Ferroque Systems est un leader reconnu dans les services professionnels et gérés de NetScaler . Nous avons une solide expérience dans la conception, le déploiement et le soutien de NetScalers pour des clients commerciaux et d’entreprise à travers le monde.

Contactez-nous pour discuter de l’état actuel de votre flotte NetScaler. Nous vous aiderons à tracer une voie à suivre pour assurer que vos NetScalers restent soutenus, stables et sécurisés.