"Logjam" and KEMP LoadMaster: not vulnerable

KEMP Technologies releases a statement about their KEMP LoadMaster line of application delivery controllers and the recent Logjam vulnerability, also known as CVE-2015-4000.

In short, the LoadMaster products do not use the weak DHE_EXPORT cipher suites and are NOT vulnerable for Logjam exploits. Reed the full statement here.

KEMP LoadMaster and Exchange 2013: Check your Server Check configuration

If you deploy a KEMP LoadMaster to load balance Exchange (which you should!) you may see an unusual behavior where the LoadMaster treats a service failure incorrectly as a server failure. First let me explain a very typical configuration example to demonstrate the issue, after that I'll explain how to fix.

I won't go into the details of deploying the LoadMaster or Exchange 2013, if you're reading this article you're supposed to have a good understanding of Exchange 2013 load balancing and the basics of working with the KEMP LoadMaster.

I start my configuration by downloading the latest Exchange 2013 Templates from the KEMP Technologies website. In this example I used Core services: MAPI, SMTP and Unified HTTP/HTTPS because I'm not going to enable ESP for this service.

So a new Virtual Service is created with the Exchange 2013 HTTPS Reencrypted template.

Next step is to assign a SSL certificate to the Virtual Service:

And add the real servers to all nine sub-Virtual Services:

The result is a nice and healthy Virtual Service:

So far so good? Well, almost… Let's see what happens when one of our Real Servers encounters an issue. To do so we simulate an unhealthy OWA, resulting in having Managed Availability no longer reporting a 200 OK when the /owa/healthcheck.htm url is queried.

Set-ServerComponentState ex01 -State inactive -Component owaproxy -Requester healthapi

Now if we check the health of the Virtual Service in the KEMP WUI we expect it to report an unhealthy Real Server for the OWA sub-Virtual Service. Instead it displays a failed RS for all services:

In the Warning Log is an endless series of these error messages:

Mar 30 13:56:04 lb100 l4d: Removing RS 192.168.200.182:443 from VS 192.168.200.200:443(E2013HTTPS) - EOF or Incorrect data received
Mar 30 13:56:04 lb100 last message repeated 5 times
Mar 30 13:56:13 lb100 l4d: Adding RS 192.168.200.182:443 to VS 192.168.200.200:443(E2013HTTPS)
Mar 30 13:56:13 lb100 last message repeated 5 times
Mar 30 13:56:13 lb100 l4d: Removing RS 192.168.200.182:443 from VS 192.168.200.200:443(E2013HTTPS) - EOF or Incorrect data received
Mar 30 13:56:13 lb100 last message repeated 5 times
Mar 30 13:56:22 lb100 l4d: Adding RS 192.168.200.182:443 to VS 192.168.200.200:443(E2013HTTPS)
Mar 30 13:56:22 lb100 last message repeated 5 times

Apparently the LoadMaster detects the entire RS unavailable and removes the RS from the VS. Now typically we have enabled the Drop Connections on RS failure feature because this is something you want for load balancing Exchange. The result is that your Outlook uses will be disconnected and forced to reconnect every time the LoadMaster removes 'their' RS from the VS. Especially for Outlook in online mode this will result in helpdesk calls and unhappy users.

I worked with KEMP Support to troubleshoot this unexpected behavior and the root cause was found pretty fast. By default the Real Server Check uses HTTP/1.1 to query the healthcheck.htm url, as can be seen here:
HTTP/1.1 is a bit more efficient than the default of HTTP/1.0 because it bundles multiple requests. Unfortunately this breaks our per-service health checks because the LoadMaster is no longer able to detect which subVS was the unhealthy one, as the result of that the entire RS is removed from the service.

My recommendation is to disable the Use HTTP/1.1 feature of all subVS to restore normal behavior.

KEMP Support, as always, was great to assist us with this issue. I left a Feature Request to ask them to update the Exchange Templates to remove the HTTP/1.1 checkbox by default.

Free KEMP LoadMaster load balancer!

This is very cool! KEMP gives away the LoadMaster Application Delivery Controller for free. The LoadMaster for Azure was already free, now the virtual appliance is available in a free edition too. Available for all supported hypervisors (VMware, Hyper-V, KVM, Xen, Oracle VirtualBox).

The free VLM has some limitations, for instance the HA setup with an active and hot stand-by unit is not supported. Another important limitation is that the free LoadMaster doesn't come with the awesome support paying customers receive. Also there are some bandwidth and SSL TPS limitations, all in all not much special for most home, lab, testing and other non-production deployments.

Get yours now at http://freeloadbalancer.com/

How to determine the SSL TPS of your workload?

The KEMP Technologies LoadMaster range of load balancers goes from very affordable entry level models up to the real work horses. To choose the right option you need to think about the number of network interfaces you need, how many real or virtual servers you want to be able to use and estimate your expected throughput and SSL TPS.

Of all those parameters SSL TPS is the one that confuses some people.

What is SSL TPS?

SSL TPS is the number of SSL (Secure Sockets Layer) Transactions per Second. First we need to understand what a Transaction is. A SSL transaction consists of three phases:

The Session Establishment phase is the most expensive from a performance point-of-view. This is where the authentication and handshake, key exchange takes place and the encrypted sessions basically is created. The Data Transfer phase is where the actual data is being transferred and during the Session Closure phase the client and server tear down the connection.

So TPS is the number of new SSL sessions per second, not to be confused with concurrent (already established) SSL sessions.

SSL and ADCs

Creating a SSL session requires CPU resources and our common x86 processors are not particularly good at this task. This is why certain ADCs have a dedicated CPU to perform this task, this is called an ASIC (Application Specific Integrated Circuit). The LoadMaster LM-2600, LM3600 and LM-5400 are examples of ADCs with an SSL ASIC. Traditionally an ADC with SSL ASIC was used to offload the SSL traffic and transfer the traffic over unencrypted HTTP to the real server.

Today SSL offloading enables the ADC to perform L7 task such as content switching and Intrusion Prevention Detection (IPS). And with the power of modern hardware it's common practice to even re-encrypt the traffic again before it leaves the ADS to the real server.

Calculate the TPS

To calculate the expected SSL TPS you need to understand both the traffic characteristics of your application as well as the expected load the users will cause.

For a typical HTTP application you need to understand:

• the number of unique visitors
• the number of HTML pages loaded per user session
• the number of requests made to the web-server per HTML page

Plan for peak usage, burst load can be up to three or four times the average load.

Measure the TPS

A more hands-on and practical way to determine SSL TPS may be to simply measure it from a production or lab deployment. If you don't have an existing solution in place to measure, I suggest you download a trial version of the KEMP LoadMaster VLM. The VLM comes with a 30 days temporary license which should be sufficient to perform some tests in your environment.

After you created the Virtual Service and directed users to the LoadMaster you can read the TPS and throughput in real-time in the System Metrics section of the Home page.

This screenshot is taken from a small Exchange 2013 environment with ~700 active users with Outlook Anywhere in Online Mode and an average of 1.5 ActiveSync device per user.

This customer plans to use the LoadMaster for several other applications in the near feature. The choice for the VLM-2000 with its 2 Gbps throughput and up to 1.000 SSL TPS seems to be the right one, this unit offers more than enough performance with sufficient headroom for peak usage.

An alternative approach would be to enable SNMP on the LoadMaster:

The MIB can be located under the Tools section of the LoadMaster Documentation site. Then use your favorite SNMP tool to collect and log the data, for instance Peassler's PRTG.

LoadMaster VLM-10G het nieuwe vlaggenschip van KEMP

Nog niet zo heel lang geleden had KEMP Technologies de LoadMaster VLM-100 en VLM-1000 in het portfolio. De bekende LoadMaster software die nu op virtuele hardware kon draaien. Inmiddels bestaan de virtuele load balancers voor onder andere Hyper-V, VMware, KVM, Xen, Oracle VirtualBox en cloudplatformen als Microsoft Azure, VMware vCloud Air en Amazon Web Services.
Enige tijd geleden zijn deze oudgedienden vervangen door de (nu 64-bits) VLM-200 en VLM-2000 en is de VLM-5000 toegevoegd voor nog zwaardere omgevingen. Alle edities beschikken over dezelfde software als de fysieke uitvoeringen en updates zijn beschikbaar voor alle klanten met een geldig supportcontract, nieuwe features zijn er dus voor organisaties die net een nieuwe load balancer aangeschaft hebben maar ook voor een oudere VLM-1000.
Om ook een antwoord te hebben voor de meest veeleisende toepassingen is daar nu de VLM-10G aan toegevoegd waarbij 10G voor een maximale doorvoer van 10.000 Mbps staat. De VLM-10G ondersteunt tot 12.000 SSL TPS. Met de komst van dit nieuwe vlaggenschip is de prijs van de VLM-5000 verlaagd, goed nieuws voor klanten die de ruwe power van de VLM-10G niet nodig hebben maar net wat meer verlangen dan de VLM-2000.
Hiermee bestaat het aanbod aan virtuele load balancers nu uit de volgende uitvoeringen:

Model	VLM-200	VLM-2000	VLM-5000	VLM-10G
Doorvoer (licentie)	200 Mbps	2 Gbps	5 Gbps	10 Gbps
SSL TPS (licentie)	200	1.000	10.000	12.000

Voor allemaal geldt dat ze over het Edge Security Pack beschikken, de reverse proxy functionaliteit die bedoeld is om Forefront TMG te kunnen vervangen, en de Geo Load Balancing add-on ondersteunen. Interessante ontwikkelingen!

Nieuwe firmware voor KEMP LoadMaster: 7.0-12a

KEMP heeft een nieuwe versie van de firmware voor de LoadMaster uitgebracht. Versie 7.0-12a bevat weer een aantal interessante verbeteringen, hieronder een korte samenvatting van de highlights.

SSL support

De performance van SSL is verbeterd en er nu ook ondersteuning voor TLS 1.2, zelf te kiezen ciphers en SNI. Vooral die laatste is interessant, SNI biedt de mogelijkheid om meerdere servernamen te publiceren over SSL op het zelfde IP-adres zonder dat deze namen allemaal in één SSL certificaat hoeven te zitten.

Verbeterde ALSI

ALSI (Automated Licensing Support Infrastructure) is een wat cryptische benaming en staat voor het nieuwe online licensing model waarbij je niet meer hoeft te klungelen met het heen en weer mailen van license keys. In deze versie is dit mechanisme verder aangepast en wordt in het hoofdscherm meer informatie over je licentie getoond:

Support voor nieuwe platformen

De virtuele applicance VLM is er nu ook voor vSphere 5.5 en Windows Server 2012 R2 Hyper-V. Misschien nog wel interessanter zijn de releases voor HP rackservers en Oracle Sun:

• LoadMaster for HP ProLiant servers
• LoadMaster for Oracle Sun x86

Edge Security Pack

ESP is de reverse proxy functionaliteit van de LoadMaster, initieel bedoeld als vervanging van Forefront TMG. In de praktijk blijkt deze opstelling wat problematisch wanneer gekozen wordt voor Forms Based Authentication (FBA) op de LoadMaster. De sessie van de gebruiker kan na 15 minuten beëindigd worden wat vergelijkbaar is met de oude ‘Public’ setting maar de beheerder heeft niet de mogelijkheid om deze te waarde te verhogen of om de gebruiker te laten kiezen tussen Private of Public.
In deze release heeft de beheerder enige controle over de timeouts gekregen waarmee het ESP in combinatie met FBA een stuk bruikbaarder is geworden. Je vindt deze instellingen bij de eigenschappen van het SSO domain:

Dis is nog niet de volgende versie van ESP, versie 2.0 van ESP komt naar verwachting met firmware update 7.0-14.
Firmware updates zijn beschikbaar voor iedereen met een geldig BASIC of PREMIUM support overeenkomst, je kunt de update in bezig krijgen via KEMP Support.

KEMP LoadMaster v7.0-8? Dan naar v7.0-8a!

De titel is een beetje cryptisch, maar dit gaat natuurlijk over de nieuwste software voor de KEMP LoadMaster load balancers. Even geleden schreef ik over versie 7.0-8 en de vernieuwingen die deze brengt. Kort daarna heeft KEMP deze vervangen voor versie 7.0-8a, inderdaad het zelfde versienummer maar dan met één letter toegevoegd.

Er is een probleem ontdekt waarbij de reverse proxy-functionaliteit van het Edge Security Pack stopt met werken. In de logfile staat dan een segfault fout:

Sep 30 11:44:24 LB02 kernel: ssomgr[27053]: segfault at 4 ip 0804fc29 sp 6f470100 error 4 in ssomgr[8048000+41000]

De oplossing zit dus in v7.0-8a, vraag hem snel aan bij KEMP Support.

Nieuwe versie KEMP LoadMaster software: v7.0-8

Vandaag is versie v7.0-8 uitgekomen van de KEMP LoadMaster software. Big deal? Toch zeker wel want er zit weer een aantal mooie verbeteringen in. In dit artikel behandel ik er een paar van.

Cisco

De LoadMaster is sinds een tijdje ook beschikbaar voor Cisco UCS. De ondersteuning hiervoor wordt langzaam aan uitgebreid, zo werd de UCS B series al ondersteund en deze release voegt daar ook de C series aan toe.

Licensing

Je kunt iedere VLM gratis uitproberen en en als hij bevalt schaf je hem aan en kun je de software permanent blijven gebruiken. Dat is natuurlijk handig maar het heen en weer mailen van machine id’s, access codes, tijdelijke en permanente sleutels was een onhandig gedoe. KEMP heeft dit verholpen door over te stappen op een geautomatiseerd systeem. Ze noemen dit ALSI maar dat is eigenlijk niet belangrijk, het idee van het nieuwe systeem is juist dat het vanzelfsprekend werkt en geen uitleg nodig heeft. Laat staan een naam… En wat mij betreft zijn ze daar in geslaagd, alle stappen, urls en benodigde gegevens staan gewoon in het scherm.

Nadat je de link hebt aangeklikt maak je een account aan, deze gegevens voer je vervolgens in in bovenstaand scherm. Met een druk op de knop kun je de LoadMaster nu een maand uitproberen.

Deze procedure werkt 24x7 dus ok buiten kantoortijden, het is niet meer nodig om op een email te wachten. Voor Online Licensing hebt je uiteraard een internetverbinding nodig. Wanneer je die vanaf de Loadmaster niet hebt dan kun je ook kiezen voor een offline variant of zelfs het oude systeem.

ESP

Niet een nieuwe feature maar wel eentje met een aantal verbeteringen. Zo kun je bij de instellingen van het SSO domein nu kiezen of je gebruikers wilt laten inloggen met domain\gebruikersnaam of de UPN gebruiker@domein.tld.

Wat nog mist is het ingeven van een standaard domein, iets wat men gewend was om in te stellen op ISA, TMG of de CAS server.

Verder…

En verder zijn er onder de motorkap nog een aantal problemen verholpen, helaas nog niet het issue met verversen van de statistieken. Ook is de webinterface nog niet geschikt voor gebruik op een iPhone, maar de vraag is of je dat echt zou willen.
Je krijgt de nieuwe LoadMaster firmware in bezit door contact op te nemen met KEMP Support. Of als je nieuwsgierig bent door een gratis proefversie te downloadeneen gratis proefversie te downloaden. 

Versie 7.0-6 van de KEMP LoadMaster software is uit: aanrader!

KEMP Technologies heeft een update uitgebracht van de LoadMaster software. Dit is de tweede update van de nieuwe 7.0 software die eerder dit jaar beschikbaar kwam en onder andere het Edge Security Pack introduceerde. Een andere opvallende verandering in 7.0 is de verbeterde webinterface, die weliswaar nog steeds voor verbetering vatbaar is maar een stuk moderner aanvoelt en logische ingedeeld is.

In 7.0-6 worden een aantal nieuwe features geïntroduceerd, bestaande features verbeterd en bugs verholpen. Onder die verbeterde features valt bijvoorbeeld het werken met certificaten, real servers en de afhandeling van health checks op ESP virtual services. Ook zijn er een paar nieuwe talen toegevoegd voor de ESP imagesets:

Het is helaas nog niet mogelijk om aangepaste image sets toe te voegen, dat is wel jammer. Maar als work-around kun je voor Blank kiezen en in de SSO Greeting Message een HTML-string met bijvoorbeeld een link naar een logo opnemen.

Al met al raad ik aan om deze update te installeren. Wel heb je minimaal versie 6.0-42 nodig om te kunnen upgraden, maar die is alweer meer dan een half jaar geleden uitgebracht dus de kans is groot dat je al op een hoger patchlevel zit. Gebruikers van de VLM-100 of VLM-1000 die versie 7.0 en ESP willen gaan gebruiken moeten hiervoor een nieuwe VLM uitrollen, het wordt niet ondersteund om ESP in te schakelen op een ge-upgrade VLM.

Na het uitvoeren van de upgrade dien je de cache van je browser (in ieder geval voor het adres van de LoadMaster) te verwijderen.

Je vind informatie over updates van de firmware hier: http://forums.kemptechnologies.com/index.php?p=/categories/news De laatste release notes kun je hier downloaden: Full Release Notes. Nieuwe firmwares zoals deze zijn gratis beschikbaar voor alle klanten met een geldig supportcontract, aanvragen van de firmware doe je bij KEMP Support.

Nieuwe KEMP firmware beschikbaar met Edge Security Pack

Toen Microsoft vorig jaar aankondigde te stoppen met Forefront TMG 2010 rees voor veel mensen de vraag wat een goede reverse proxy zou zijn voor Exchange, SharePoint en Lync. Bedrijven als KEMP Technologies zagen een kans om nieuwe features toe te voegen aan hun load balancers, zo kondigde KEMP al snel aan dat ze werkten aan een reverse proxy oplossing voor hun LoadMaster modellen.

Edge Security Pack

KEMP noemt dit het Edge Security Pack (ESP), met ESP kan de LoadMaster dienen als reverse proxy en biedt deze een aantal mogelijkheden die tot voor kort alleen mogelijk waren met TMG:

• Forms-based pre authenticatie
• Single sign-on over verschillende services
• Basic en NTLM authentication

Dit maakt het mogelijk om de LoadMaster niet alleen te gebruiken voor het verdelen van inkomende connecties over meerdere servers, maar ook om client-connecties eerst te authentiseren en pas dan een verbinding met de achterliggende server op te bouwen. Hiermee hebben we dus een echt bruikbaar alternatief voor gebruik met Exchange, SharePoint en Lync.

Application Delivery Controller

Als het aan KEMP ligt dan spreken we ook niet meer van een load balancer maar noemen we dit een Application Delivery Controller. En hoewel ik niet zoveel op heb met sjieke marketingtermen zit hier eigenlijk wel wat in. Als we kijken naar load balancing an sich dan hebben we het over Layer 4 en 7 load balancing, diverse persistence opties, uitgebreide health checking en verschillende load balancing algoritmes.
Maar de LoadMaster kan ook compressie inschakelen in het verkeer tussen de client en de load balancer, hiermee wordt bandbreedte bespaard tussen de client en de load balancer. En dan is het nog mogelijk om ook caching in te schakelen, hiermee wordt bandbreedte bespaart tussen de load balancer en de echte servers.

Als we hier dan de features van het ESP aan toevoegen dan gaat het echt om veel meer dan alleen het verdelen van inkomende connecties, de term ADC lijkt dan ook wel op zijn plek.

Release

Vandaag komt versie v7.0-4 uit van de nieuwe LoadMaster firmware dan eindelijk beschikbaar. Deze nieuwe versie bevat onder andere de volgende verbeteringen:

• Edge Security Pak
• Sub-virtual services
• Nieuw dashboard/startscherm met een grafisch overzicht van de belasting en performance
• Opgefriste webinterface, meer consistente layout
• VLM-modellen ook beschikbaar voor Oracle VirtualBox

De nieuwe firmware is beschikbaar voor alle klanten met een geldige supportovereenkomst, met uitzondering van de LM-2200. Voor de VLM-100 en VLM-1000 is de procedure gelijk aan elke andere update, vraag de nieuwe versie aan bij KEMP Support en installeer deze in de webinterface. Voor klanten met een LM-2600 of hoger is een hardware-uitbreiding nodig, deze wordt zonder meerkosten door KEMP verzonden. Neem ook hiervoor even contact op met KEMP Support.
Versie v7.0-4 is de eerste release van de 7.0 LoadMaster software, de documentatie voor 7.0 verschijnt later vandaag op de KEMP Documentation pagina.

Statistieken resetten van de KEMP LoadMaster

In de webinterface van KEMP LoadMaster load balancers kun je verschillende statistieken monitoren. Heel handig om snel te zien wat er gebeurt, vooral als je net een service toegevoegd of aangepast hebt.

Met name wanneer je op het pijltje naast het nummer van de Real Server klikt krijg je een goed overzicht van het verkeer door de verschillende services van de load balancer. Onlangs zocht ik naar de mogelijkheid om de statistieken op nul te kunnen zetten maar kon deze mogelijkheid eerst niet vinden. Hij blijkt er wel te zijn:

• System Configuration
• Logging Options
• Debug Options
• Klik op de button Reset Statistics

Deze mogelijkheid zit er in sinds versie 6.0-40CM, als je nog een oudere versie hebt dan kun je contact opnemen met KEMP Support om de laatste firmware aan te vragen.