Download
1 / 31
310 likes | 632 Views
Agenda. NFuse y CSG backgrounderFuncionalidad de Citrix Secure GatewayComponentesArquitectura de Citrix Secure Gateway (CSG): Arquitectura
E N D
1. Conceptos Prácticos de CSG integración con Nfuse
2. Agenda NFuse y CSG backgrounder
Funcionalidad de Citrix Secure Gateway
Componentes
Arquitectura de Citrix Secure Gateway (CSG):
Arquitectura óptima
Posibles arquitecturas CSG
Autentificación para utilizar CSG
Certificados
Demostración con RSA
Integración CSG con NFuse
Instalación y configuración de CSG
3. ¿Qué es Citrix Secure Gateway?
Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe® a través de Internet desde cualquier dispositivo.
4. Amenazas comunes
Brute Force password crack: identificar passwords
IP spoofing: paquetes “intrusos” externos
Man-in-the-middle: intercepta paquetes y los modifica
Denial-of-service: ataque a un servidor: overloaded ? crash Brute Force attack – repeated attempts to identify passwords of user accounts on a network. Ex. L0ftcrack, dictionary attacks
IP spoofing – an attacker transmits packets from outside the trusted network, masking them as packets originating from the internal, trusted network
Man-in-the-middle attack – an attacker intercepts packets in transit and also modifys them to suit his/her own purposes
Denial-of-Service attack – also know as a Syn flood, an attacker floods a target server with specific purposes of overloading it so it crashes and can no longer service its intended usersBrute Force attack – repeated attempts to identify passwords of user accounts on a network. Ex. L0ftcrack, dictionary attacks
IP spoofing – an attacker transmits packets from outside the trusted network, masking them as packets originating from the internal, trusted network
Man-in-the-middle attack – an attacker intercepts packets in transit and also modifys them to suit his/her own purposes
Denial-of-Service attack – also know as a Syn flood, an attacker floods a target server with specific purposes of overloading it so it crashes and can no longer service its intended users
5. NFuse y CSG backgrounder NFuse con extensión a un servidor web
Soportado en varias plataformas IIS, Apaches, iPlanet, Websphere..
Es el Programa Neighborhood “webificado”
Permite la publicación de aplicaciones vía un servidor web
Cada usuario puede ver su “application set”
CSG es para permitir un acceso seguro
Es un VPN para ICA o un gateway SSL/TLS
Es bonito….y permite la admin/config del cliente ICA de forma centralizada CSG: Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a través de Internet desde cualquier dispositivoCSG: Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a través de Internet desde cualquier dispositivo
9. Soluciones de Seguridad Citrix offers a variety of security solutions to meet your needs. These solutions range from lower security (ICA) up to the highest security (Virtual Private Network (VPN)).
Citrix offers a variety of security solutions to meet your needs. These solutions range from lower security (ICA) up to the highest security (Virtual Private Network (VPN)).
10. Cuándo usar Secure ICA o SSL Relay Usar SecureICA cuando...
Sea necesario acceso seguro a Win 16 o DOS
Se tienen dispositivos/ clientes ICA antiguos que no pueden ser actualizados
Existe un riesgo considerable de ataque “man-in-the-middle”
Intranet / WAN / LAN interna
Usar SSL Relay cuando...
Pequeño número de servidores MetaFrame a soportar (<5)
No hay necesidad de asegurar el acceso al DMZ
No hay necesidad de esconder las direcciones IP de los servidores o cuando se usa NAT.
Se necesita encriptación de datos “end-to-end” entre cliente y servidor
11. Cuándo usar CSG o VPN Usar CSG cuando:
Gran número de servidores a soportar
Se quiere esconder dirección de red interna
Se quiere securizar DMZ
Necesidad de autenticación de 2 factores (con NFuse Classic)
Necesidad de instalación de cliente “non-intrusive” ej. Internet cafés
Diferencias principales entre soluciones SSL Relay y CSG. SSL Relay:
Necesita ser configurado en cada servidor MF que requiere acceso SSL
Requiere certificados instalados en cada servidor
No realiza una autenticación / autorización independiente
Usar una solución VPN cuando:
Se necesite autenticación 2 factores
Se necesite securizar todo el tráfico (no sólo ICA)
Se quiere securizar DMZ
El acceso se realiza normalmente desde la misma workstation ej.OK instalar un cliente adicional
Se quiere usar IPSEC
12. Citrix Secure Gateway Beneficios
Seguridad en sesiones ICA:
Encriptación basada en estándars
protege contra ataque “man-in-the-middle” (Secure ICA es vulnerable a éste)
Oculta servidores MetaFrame desde Internet – se accede mediante una conexión SSL segura
Utilización de Puertos Estandar: 443 en lugar de 1494
Producto sin costes para clientes con “Subscription Advantage”
Sin cliente adicional
Fácil para el usuario (total integración con NFuse)
CSG 1.1 funciona con NFuse Classic 1.7, NFuse Elite 1.0, y Enterprise Services for NFuse 1.7
Weaknesses
Sólo válido para aplicaciones MetaFrame
Requiere servidores adicionales
13. Lo nuevo en CSG 1.1 Soporte Solaris - Solaris 8 on SPARC™
NFuse Classic 1.7 soporta CSG de forma nativa
Interfaz de usuario de instalación mejorado
Encriptación TLS v1.0 y SSL v3.0
Criptografía: GOV, COM, o ALL
FIPS 140-1 certified crypto modules
Rendimiento mejorado: CSG 1.1 soporta más usuarios que CSG1.0
Logging de CSG mejorado: Windows system log
Certificación Microsoft Windows 2000
Lista de direcciones IP evitadas en el log (ej. network load balancer)
Soporte Client Proxy (Cliente ICA v6.3)
15. Flujo de tráfico CSG
16. Componentes CSG Servicio CSG
El programa CSG mismo
NFuse Classic o NFuse Elite o ESNFuse
Extensiones incluidas en NFuse 1.7. No es necesario instalar separadarmente como en versiones anteriores
Secure Ticketing Authority (STA)
Genera ‘tickets’ a los clientes usuarios del portal. Estos forman la base de la autenticación y autorización para conexiones ICA a servidores MetaFrame
17. CSG for Windows Gateway Service Windows 2000 native Service
En DMZ, no requiere IIS
Diseño multi-threaded – alta eficiencia y rendimiento
Utiliza Microsoft S-Channel para funciones SSL/TLS
Es necesario un certificado de servidor para autenticación de servidor SSL
Construir arrays de CSG para escabilidad y tolerancia a fallos usando balanceadores de carga externos estándar (network load balancer)
Herramienta de configuración GUI
Pequeño beneficio de SSL accelerators The reason why we get a small benefit from typical SSL accelerators is because they only actually accelerate the initial authentication process, and NOT the bulk encryption. Once the SSL session is authenticated the actual bulk encryption is symmetric, and quite CPU efficient. In practice we are finding minimal additional connection latency.The reason why we get a small benefit from typical SSL accelerators is because they only actually accelerate the initial authentication process, and NOT the bulk encryption. Once the SSL session is authenticated the actual bulk encryption is symmetric, and quite CPU efficient. In practice we are finding minimal additional connection latency.
18. CSG for Solaris daemon Soporte Solaris on SPARC v8
Multithreaded Solaris daemon
Incluye herramientas de gestión de certificado
OpenSSL embebido para funciones SSL/TLS
Es necesario un certificado de servidor para autenticación de servidor SSL
Construir arrays de CSG para escabilidad y tolerancia a fallos usando balanceadores de carga externos estándar (network load balancer)
19. Secure Ticketing Authority (STA) Genera tickets durante el establecimiento de la conexión
STA es una ISAPI (Internet Server Application Program Interface) DLL
Debe instalarse en un servidor Windows 2000 con servicio IIS www
Extremely lightly loaded service
Se pueden definir varias STA’s redundantes
No debería ser accesible desde fuera de la DMZ
Se comunica con CSG y NFuse mediante el protocolo XML sobre HTTP. Puerto configurable
Enlaces a CSG y NFuse se pueden securizar con Windows 2000 Server to Server VPN
Fácilmente configurable mediante la herramienta GUI de configuración
21. CSG Ticketing
24. CSG paso a paso Proceso de lanzar Wordpad usando CSG
La mayor parte del trabajo de inicio de conexión lo realiza NFuse
Una vez establecida la conexión, NFuse termina su trabajo, y se puede cerrar sin que afecte a la aplicación publicada
25. Usuarios se validan en NFuse Abrir un navegador y apuntar a la página de validación de NFuse
Conexión estandard HTTP o HTTPS al servidor web NFuse usando puerto 80 o 443
Teclear nombre de usuario y contraseña, clic botón para enviar credenciales al servidor web
El servidor web recibe nombre de usuario y contraseña
26. NFuse ?XML? MF1 El servidor web NFuse redirige las credenciales al servidor MetaFrame (MF1) corriendo el servicio Citrix XML
El servicio XML envía la lista de aplicaciones e iconos XML para el usuario actual a NFuse
NFuse formatea la página como HTML para el usuario
27. Usuario hace clic en un icono de aplicación Cuando el usuario hace clic en el icono de una aplicación (Wordpad), se envía una petición HTTP a NFuse
Un icono es un hyperlink a launch.asp?NFuse_Application=Wordpad…
28. NFuse pide detalles para Wordpad La petición de lanzamiento de la aplicación del usuario genera otra transacción XML entre NFuse y MetaFrame: ¿qué servidor está menos cargado?
Las reglas de Citrix Load Management determina cuál es el servidor menos cargado y disponible
La dirección del servidor se puede devolver como una dirección IP normal, alternate address, IP:port, DNS name o DNS:port
29. MetaFrame localiza servidor menos cargado El servicio XML de MF1 pregunta al Data Collector (DC) de la zona cuál es el servidor MetaFrame menos cargado que sirve esa aplicación
En este ejemplo, MF2 es el menos cargado
MF1 envía las credenciales del usuario al servicio XML de MF2
MF2 genera un ticket NFuse y lo devuelve a MF1
30. MF1 envía la dirección de MF2 a NFuse El servicio XML primario envía los datos XML a NFuse de nuevo, indicando la dirección del servidor menos cargado (MF2)
NFuse también recibe el ticket NFuse generado por MF2 para las credenciales del usuario actual
El ticket NFuse permanecerá en memoria de MF2 hasta que es utilizado por WinLogon o expira (por defecto 200 segundos)
31. NFuse envía la dirección de MF2 a STA NFuse ya sabe quién es el servidor menos cargado: MF2
Sin CSG, Nfuse colocaría la dirección de MF2 en un fichero ICA, que pasaría al usuario.
Con CSG, NFuse envía la dirección de MF2 a STA y recibe un ticket CSG de vuelta
STA genera un ticket para NFuse y almacena la dirección de MF2 en memoria
32. El usuario recibe el fichero ICA NFuse recoge toda la información que tiene y genera un fichero ICA dinámico para esta conexión
El contenido del fichero ICA se basa en el fichero TEMPLATE.ICA
El fichero launch.ica se devuelve al navegador usando el application/x-ica MIME type, triggering user’s ICA client
El ticket STA aparece en el fichero launch.ICA, en la línea address, ej: Address=;10;STA01;FE0A7B2CE2E77DDC17C7FD3EE7959E79
33. El cliente conecta con la pasarela CSG El cliente abre una conexión con la pasarela CSG, que estaba en el fichero ICA, como SSLProxyHost
Se produce un handshake SSL estándar:
El servidor CSG debe enviar una cadena de certificado válida al cliente
El CA root certificate debe ser instalado y trusted por el cliente
El FQDN del servidor como aparece en el fichero ICA debe coincidir con el nombre (subject name) del certificado
34. Gateway valida el ticket STA El ticket CSG producido por STA se presenta a CSG
CSG reenvía el ticket de vuelta a la STA para validación
Si la STA aún tiene la dirección del servidor MF en memoria que corresponde al ticket, se pasa esa dirección del servidor MF a CSG y STA borra el ticket de memoria
CSG recibe la dirección del servidor MF2 y…
35. Cliente ?SSL? CSG ?ICA? MF2 CSG abre una conexión con MF2 usando el puerto estándar ICA, estableciendo una pasarela segura a la aplicación publicada
El ticket NFuse se presenta a MF2 para el logon de MetaFrame
Tráfico entre CSG y el cliente: encriptado – SSL
Tráfico ICA regular entre CSG y MF2
36. Resumen de arquitectura
37. Características CSG Encriptación y conectividad
Autenticación
Seguridad: SSL vs TLS
CSG y Cliente ICA Java
38. Encriptación y conectividad Securiza sólo tráfico ICA
Encriptación SSL v3.0 o TLS v1.0 de 128-bit
CSG usa un certificado de servidor
Sólo una dirección IP de CSG es visible desde internet
Facilidad en firewall (usa sólo puerto 443)
39. Autenticación Autenticación proporcionada por el servidor web NFuse Classic - antes de usar CSG – Single-Sign on
Métodos de autenticación:
Estándar:
Dominios Microsoft NT y Active Directory
Novell NDS
SmartCard
Dos factores:
Otros mecanismos para proteger servidor web de acceso no autorizado (ej RSA SecurID®, SafeWord™ PremierAccess™)
El proceso de autenticación se puede securizar además mediante un servidor Web NFuse configurado para HTTPS
40. El riesgo del password Autenticación de sólo un factor
Fácil de capturar (hacked, stolen, borrowed, guessed or sniffed)
Difícil de recordar y gestionar
41. ¿Qué es Two Factor o Strong Authentication? Múltiples factores:
Algo que sabes
Tu PIN
Algo que tienes
Tu tarjeta / token
Ejemplo: cajeros automáticos
Algo que hace el dispositivo
Genera un nuevo password en cada logon
Utiliza encriptación avanzada o certificados digitales
42. Opciones de integración de autenticación de dos factores
43. User hits an RSA/Secure Computing page and authenticates with their token code
User hits NFuse Classic page and authenticates with their username and password
User hits an RSA/Secure Computing page and authenticates with their token code
User hits NFuse Classic page and authenticates with their username and password
44. 2a. Single Logon ScreenSafeWord PremierAccess Solution
45. 2b. Single Logon ScreenRSA with Proyecto Willamette
46. 3. Custom SolutionCitrix Internal CSG Site
47. SSL vs TLS SSL es un protocolo abierto, no propietario, estándar que permite el intercambio de información en Internet
TLS es la última versión estandarizada del protocolo SSL. TLS versión 1.0 está soportado a partir de MetaFrame XP Feature Release 2 (No FR1) y clientes v6.30
Hay pocas diferencias entre SSL y TSL, por lo que los certificados de servidor SSL usados en una instalación MF son válidos para TLS
Los protocolos SSL/TLS permiten que datos confidenciales sean transmitidos en redes públicas, como Internet, propocionando:
Autenticación: El cliente puede determinar la identidad de un servidor y estar seguro de su autenticidad. Opcionalmente, un servidor puede autenticar la identidad del cliente que quiere establecer una conexión
Privacidad: Los datos entre cliente y servidor están encriptados, de dorma que si un tercero intercepta los mensajes, no puede descifrar el contenido
Integridad de datos: El receptor de los datos encriptados sabrá si un tercero ha corrompido o modificado datos
48. SSL/TLS Captura el mensaje a transmitir
Fragmenta los datos en bloques
Hace compresión de datos (opcionalmente)
Aplica hash
Encripta
Transmite
49. CSG y cliente Java Solución “Internet Café” Solución basada en Java applet, no necesita nada pre-instalado en máquina local
El cliente se descarga y ejecuta vía el browser.
La solución requiere
MetaFrame XP
Citrix NFuse Classic 1.7
Citrix Secure Gateway
Cliente ICA Java, en modo applet (incluido en NFuse Classic 1.7)
Admite autenticación RSA SecureID, SafeWord™ PremierAccess™
Los certificados SSL pueden ser de un servidor de certificados MS propio o de una organización comercial
50. Instalación CSG
51. Implementación de CSG Requerimientos de los componentes
Instalación de Certificados
Comprobación “Checklist”
Instalación de componentes
Servidor STA
Instalación NFuse
Servidor CSG
Configuración NFuse
53. Requerimientos de los componentes CSG Ensure that Citrix SSL Relay is not installed on your MetaFrame servers or is disabled. Citrix Secure Gateway cannot be used in an environment containing Citrix SSL Relay.
Ensure that Citrix SSL Relay is not installed on your MetaFrame servers or is disabled. Citrix Secure Gateway cannot be used in an environment containing Citrix SSL Relay.
55. Instalación de componentes Se recomienda seguir el siguiente orden:
1. Instalación de Secure Ticketing Authority (STA)
2. Instalación de CSG Gateway
Petición e instalación del certificado SSL
Deshabilitar o eliminar IIS en servidores Windows
Instalar software de la pasarela
3. Configuración de NFuse para usar CSG
NFuse 1.61 o superior soporta CSG de forma nativa
NFuse Classic 1.7 puede usar CSG para clientes externos y evitar CSG para clientes internos
56. Step 1: Instalación de STA
57. STA IIS permissions required of /Scripts
58. STA IIS permissions required of /Scripts
59. STA IIS permissions required of /Scripts
60. Instalación de STA
61. Step 2: Instalación de CSG
62. Instalar NFuse CD Componentes MetaFrame XP - NFuse Classic - wizard
64. Ejemplo Certificado SSL
65. Ejemplo Certificado
66. Ejemplo Certificado
67. Instalación de certificados En un despliegue CSG se usan dos tipos de certificados digitales:
Server certificate
Identifica una máquina concreta, por ej el servidor Secure Gateway.
Hay que instalar un server certificate en cada servidor y servidor NFuse
Root certificate
Identifica la CA que firma el server certificate. El root certificate pertenece a la CA .
Necesario en cada dispositivo cliente ICA que se conecte al servidor web
Cada web certificate (clave privada) necesita un root certificate (clave pública)
68. Server Certificates Server certificates son únicos para un nombre de servidor particular
El ‘subject’ del certificado es el FQDN del servidor
Ver el Certification Path para averiguar qué autoridad certificadora (CA) generó este certificado
69. Root Certificates Root certificates (certificados CA) son entidades self-signed usadas para verificar certificados de servidor
Si se confía en una CA, instalar su root certificate.
Si el dispositivo cliente tiene SO Windows 32-bit (Windows 95, Windows 98,Windows NT, o Windows 2000), root certificates están automáticamente disponibles para varias CA pública – administración 0 en workstation
. Ej:Verisign, Baltimore, RSA, Thawte
70. Instalación de certificados
71. Cómo obtener Certificados Obtener certificados de:
Autoridad certificadora (Certificate Authority - CA) privada
CA Pública
Cert de evaluación de una CA pública (Baltimore, Verisign,…)
Guía para crear una autoridad certificadora: http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp
Guía para instalar root certificate en cliente: http://www.microsoft.com/TechNet/prodtechnol/windows2000serv/deploy/walkthru/enducert.asp
72. Instalación de certificados 1. Crear petición de certificado desde IIS admin Windows 2000 -wizard
Para obtener un certificado SSL de una CA, primero hay que generar un fichero CSR (Certificate Signing Request) para usarlo en la generación de un web server certificate. Al terminar este proceso, habrá que enviarlo a la CA o seguir las instrucciones de la CA para generar un certificado
Clave 1024 bits, FQDN name y common name, cert.txt
No borrar la petición pendiente ? el fichero .crt no coincidirá y el certificado no se instalará
Sería posible - certificate request wizard de IIS en CSG server -después deshabilitar o desinstalar IIS del servidor CSG para liberar el puerto 443
73. Instalación de certificados Crear petición de certificado desde IIS admin Windows 2000 -wizard
74. Instalación de certificados 2. Enviar el CSR a la CA y esperar a recibir el certificado SSL
Seguir proceso especificado por la CA pública o privada que se está usando
Ej. Certificado de evaluación de Baltimore: completar formulario online http://www.baltimore.com/omniroot/SSL/try.asp
3. Salvar fichero de respuesta del certificado enviado por la CA como un certificado X.509 (formato CER)
75. Instalación de certificados 4. Instalar SSL Web Server Certificate
Desde IIS Admin, seleccionar Directory Security para instalar el certificado
76. Añadir certificados a MMC La consola Microsoft Management Console (MMC) no está preconfigurada para certificados.
Configurarla para poder Exportar/Importar
77. Back up de certificados Preparado para usar certificados SSL. Antes hacer backup, por si se reinstala el servidor o se mueve el certificado a otro servidor con el mismo nombre FQDN
Restaurar certificado SSL: importar certificado backup (.pfx) - MIAB
78. Instalar MS Certificate Server 1. Instalar MS Certificate Services en un servidor Windows 2000
Use Add/Remove Programs>Windows Components
Seleccionar ‘Advanced’ – usar encriptación 1024 bit
79. Instalación de certificados 2. Generar petición de Certificado en IIS (usar 1024 bit) similar a la petición para CA pública
Ir a la URL http://[server]/certsrv para acceder al servidor de certificados
Web Server from the Certificate Template drop down box
80. Instalación de certificados
81. Verify SSL Connectivity ICA Systray Icon, or the active Citrix window– right click and choose properties or mouse over the connection to display the encryption status.
82. Instalar servicio CSG CD Componentes MetaFrame XP - Citrix Secure Gateway - Secure Gateway Service
Wizard – licencia – configuration utility
83. Step 3: Configure NFuse Classic Opciones Nfuse
NFuse 1.6 + Proyecto Columbia
NFuse 1.61 soporta CSG de forma nativa
NFuse Classic 1.7
Recomendación:
Utilizar NFuse Classic 1.7 si es posible. Permite distinguir entre usuarios internos que no utilizan CSG (al igual que Columbia).
84. CSG Architecture(Usuarios internos)
86. CSG con NFuse 1.6 + Project Columbia Editar config.txt para incluir lo siguiente:
CSG_Enable=On
CSG_Gateway=csg.company.com:443
CSG_STA=http://10.3.2.1:80/Scripts/CtxSta.dll
CSG_InternalNetworks=10.,192.168.
En este ejemplo, usuario cuya dirección IP empieza por “10.” o “192.168.” pasarían de CSG y accederían directamente a servidores MetaFrame
Cuando se use Columbia, no añadir entradas CSG a NFuse.conf
Más detalles en el fichero de ayuda de Columbia
87. CSG con Nfuse 1.61 Es necesario realizar cambios en:
%ProgramFiles%\Citrix\Nfuse\Nfuse.conf
SessionField.Nfuse_CitrixServer= <IP Metaframe XML Service>
SessionField.Nfuse_CitrixServerPort= <Puerto XML Service>
SessionField.Nfuse_CSG_Enable= ON
SessionField.Nfuse_CSG_STA_URL1= http://STAServer1/Scripts/CtxSta.dll
SessionField.Nfuse_CSG_Server= <FQDN del servidor CSG>
SessionField.Nfuse_CSG_Server_Port= 443
Funciona con versiones Windows y UNIX de NFuse 1.61
Afecta a todos los usuarios, incluido los internos
88. CSG con NFuse 1.7Configurar NFuse usando NFuse Admin Utilidad gráfica de administración que edita el fichero nfuse.conf (almacena configuraciones)
Página de administración por defecto http://[server]/Citrix/NFuseadmin.
Especificar dirección servidor Metaframe, puerto XML
Configurar para Citrix Secure Gateway
Controlar despliegue de clientes ICA, y cliente Java
Configurar firewalls (Server and Client side)
Login page de NFuse
Página por defecto http://server/Citrix/NFuse17
Se puede modificar
89. NFuse Admin
90. NFuse Admin CSG Settings – MF Server Especificar dirección del servidor(es) Metaframe y puerto XML
91. NFuse Admin Settings - CSG Check ‘Citrix Secure Gateway’
Soporta usuarios CSG y no CSG (internos)
93. CSG con NFuse Classic 1.7 Unix En NFuse Classic 1.7 para UNIX, es necesario modificar NFuse.conf manualmente:
AddressTranslation=Mapped
ClientAddressMap=10.,Normal,*,CSG
SessionField.NFuse_CSG_AddressTranslation=Normal
SessionField.NFuse_CSG_Server=csg.company.com
SessionField.NFuse_CSG_ServerPort=443
SessionField.NFuse_CSG_STA_URL1= http://10.3.2.1/Scripts/CtxSta.dll
94. .
.
95. Posibles arquitecturas CSG
96. Expandiendo o reduciendo CSG La arquitectura “de libro” de CSG se compone de un servidor para cada componente: NFuse, CSG y STA
En despliegues pequeños distintos componentes pueden compartir hardware
En despliegues grandes, se recomienda tener componentes redundantes y balanceados
97. Un servidor para todo Recomendado sólo para demostraciones: instalar Windows 2000, IIS, MetaFrame, NFuse, CSG y STA todo en un servidor
Cambiar el puerto CSG de 443 a 1443 (o cualquier otro)
Utilizar http://localhost/Scripts/CtxSta.dll como la URL STA
Usar localhost:80 como servicio XML MetaFrame
98. Compartir STA con MetaFrame STA supone poca carga y se puede compartir con un servidor MetaFrame o cualquier otro servidor IIS
Como antes, cambiar puerto CSG para albergar NFuse y CSG en el mismo servidor, o asignar dos direcciones IP al servidor NFuse/CSG y seguir las instrucciones del documento CTX799332 para deshabilitar socket pooling en IIS
99. Colocar STA en un Control Server A medida que la granja crece, conviene separar NFuse y CSG en distintas máquinas
Aislar un servidor MetaFrame como “control server”: en vez de servir aplicaciones publicadas, actúa de data collector de la zona, servicio XML primario y STA
100. Textbook installation Para reducir tráfico XML en el control server MetaFrame, separar STA en otra máquina no-MetaFrame
En un despliegue típico, sólo NFuse y CSG residen en una DMZ (Demilitarized Zone)
Firewall exterior: puerto 443 para NFuse y CSG
Firewall interior: tráfico HTTP por puerto 80 a la STA y MetaFrame control server, y tráfico ICA en puerto 1494 desde CSG a todos los servidores MetaFrame
101. Pasarelas y servidores web redundantes Cualquier método de balanceo de carga basado en sesión puede ser utilizado con los servidores web o gateways: DNS round-robin, MS Network Load Balancing or hardware load balancers
El mismo certificado y clave privada estarían instalados en cada servidor CSG (csg.company.com)
Después de instalarlo en el primer servidor, exportar el certificado y clave privada a un fichero .pfx
En los otros servidores CSG, importar el fichero .pfx utilizando MMC snap-in
102. Múltiples servidores de control MetaFrame NFuse Classic 1.7 puede hacer balanceo de carga entre varios servicios XML (round-robin)
Si la granja es grande, dividirla en zonas, y usar cada DC como control server para NFuse
103. Multiple STA’s – Alta disponibilidad Si se usa más de una STA, cada una debe tener su identificador único (STA01, STA02, etc)
NFuse Classic 1.7 puede hacer balanceo de carga de STA (round-robin)
CSG se dirige a la STA elegida por NFuse. El STA ID está incluido como parte del ticket. CSG debe ser capaz de resolver cada STA ID con su URL correspondiente:Address=;10;STA01;FE0A7B2CE2E77DDC17C7FD3EE7959E79
104. Securidad en CSG The Citrix Secure Gateway is an application specific proxy, and as such is relatively secure. It is not a firewall and should not be used as such. Citrix highly recommends that you use a firewall to protect Citrix Secure Gateway and other corporate resources from unauthorized access from the Internet, as well as unauthorized access from internal users.
The Citrix Secure Gateway is an application specific proxy, and as such is relatively secure. It is not a firewall and should not be used as such. Citrix highly recommends that you use a firewall to protect Citrix Secure Gateway and other corporate resources from unauthorized access from the Internet, as well as unauthorized access from internal users.
105. Seguridad Security basics:
Buen diseño – incluyendo seguridad física
Habilitar Auditing – herramientas propias o de terceros
Lockdown sistema de ficheros local – Windows o Unix
Mantener actualizado con hotfixes y security patches
HFNETCHK.EXE – atwww.microsoft.com/technet
HFNetChk herramienta command-line que permite al adminstrador comprobar el estado de los patches en máquinas Windows NT 4.0, Windows 2000, y Windows XP
http://www.Microsoft.com/security/
Product is only one aspect of securing a connection. More importantly, is methodology. Citrix Secure Gateway relies on a change in security methodology for part of its security, and some security basics are important to consider as a part of securing the actual CSG product. Product is only one aspect of securing a connection. More importantly, is methodology. Citrix Secure Gateway relies on a change in security methodology for part of its security, and some security basics are important to consider as a part of securing the actual CSG product.
106. Securizar entorno Secure Gateway Despleguar Citrix Secure Gateway en DMZ
Situar CSG en una DMZ entre dos firewalls
Securizar físicamente la DMZ para prevenir acceso a firewalls
Configurar firewalls para restringir acceso sólo a los puertos específicos
Secure Ticket Authority - localización
Security server
Contiene información importante de conexión
Servicio Isapi.dll puede correr en servidor de ficheros/ Citrix
Ideal: en un servidor separado
107. Securizar entorno Secure Gateway Seguir recomendaciones de seguridad de Microsoft y terceros
Eliminar componentes que no se usan
Instalar software mínimo
Usar políticas para restringir clientes
Controlar accesos
Sistema de ficheros
NTFS
Mínimos derechos necesarios
Lockdown local file system – Windows or Unix
Microsoft IIS Lockdown tool (MIAB)
Securiza servidor web IIS
Disponible en http://download.microsoft.com/download/iis50/Utility/2.1/NT45/EN-US/iislockd.exe
108. Deshabilitar servicios innecesarios En servidores Windows 2000 por defecto hay unos 31 servicios innecesarios
Computer Browser, DHCP, DFS, Fax Service, Internet Connection Sharing, Messenger…
Deshabilitar en Services MMC Snap-in de Windows 2000
Válido igualmente para Solaris
Armoring Solaris II, July 2002, Lance Spitner
www.phoneboy.com
109. Securizar Windows Securizar Windows 2000 File system:
DumpSec
Hyena
Windows 2000 Resource kit tools
Incluyen herramientas para gestionar información de permiso de ficheros, de usuario, cuentas, lista de shares DumpSec, by Somarsoft, used to be called DumpACL and is useful for dumping share, and file permissions to the screen, or outputted to a file for use. This screen shows what such output looks like – showing both the account, and the permission assigned to that account.
Hyena allows for you to, at a glance, see an aggregate list of shares or local user rights to the specific machine you are looking at. It also allows one to see specific user rights and other security information – including event logs – in one user interface
DumpSec, by Somarsoft, used to be called DumpACL and is useful for dumping share, and file permissions to the screen, or outputted to a file for use. This screen shows what such output looks like – showing both the account, and the permission assigned to that account.
Hyena allows for you to, at a glance, see an aggregate list of shares or local user rights to the specific machine you are looking at. It also allows one to see specific user rights and other security information – including event logs – in one user interface
110. Securizar Windows Host –based security scanner to check vulnerabilities
Symantec Net Recon
ISS System Scanner
Langaurd, Shadow Tools or other free scanner
Escanean hosts y comprueban puntos vulnerables: ej puertos abiertos
Information about the Windows file system is very important in knowing what to lock down. Equally important is having a full understanding about the vulnerabilities of each host that will be exposed as a part of your security solution. There are many free, and paid tools to allow you to do this. Some of which are mentioned here, from host-based scanners such as NetRecon or System Scanner to free tools like Languard and Shadow Tools. These tools will let you perform host by host vulnerability scans to check for other things such as open ports, and others.
Once these scans are performed, it is important to keep up with security patches and hotfixes as they are released. Microsoft has a website to keep network administrators and other IT Professionals up to date on these patches…www.microsoft.com/security
Information about the Windows file system is very important in knowing what to lock down. Equally important is having a full understanding about the vulnerabilities of each host that will be exposed as a part of your security solution. There are many free, and paid tools to allow you to do this. Some of which are mentioned here, from host-based scanners such as NetRecon or System Scanner to free tools like Languard and Shadow Tools. These tools will let you perform host by host vulnerability scans to check for other things such as open ports, and others.
Once these scans are performed, it is important to keep up with security patches and hotfixes as they are released. Microsoft has a website to keep network administrators and other IT Professionals up to date on these patches…www.microsoft.com/security
111. Autenticación Citrix Secure Gateway es una solución de acceso remoto
Utilizar autenticación segura, industry standard, two-factor authentication
Certificados
Tolken-based ej. RSA SecureID
Secure Computing
Seguridad external E Interna!
112. Política Local Política de Password
History requirement
Password age - expiración
Character length
Force requirements to be met
Cuentas de usuarios
Deshabilitar cuentas de usuario no utilizadas
Default IIS account, Guest
113. Anonymous Access After disabling the auto-created anonymous user account for IIS on both the Nfuse Web, and STA servers, create a new anonymous access account. Then give the account rights for the web servers.After disabling the auto-created anonymous user account for IIS on both the Nfuse Web, and STA servers, create a new anonymous access account. Then give the account rights for the web servers.
114. Auditing Auditar eventos locales
MMC Security and Analysis Snap-in
Tamaño event log aumenta hasta 500MB
Backups periódicas del event log
Objetos específicos para auditar:
• Gestión de cuentas
• Eventos de Logon
• Cambio política
115. Securizar entorno Secure Gateway
Restringir Ciphersuites
Ciphersuite define tipo de encriptación: algoritmo, parámetros (keys size)…
Establecer una conexión segura implica negociar el ciphersuite utilizado en las comms. ICA client informa a CSG los ciphersuites que soporta y CSG informa al cliente el ciphersuite que se utilizará
CSG soporta 2 categorías de ciphersuite:
COM (commercial)
GOV (government).
Opción ALL incluye ambas
HKLM\SYSTEM\CurrentControlSet\Services\CtxSecGwy\Global\CipherStrength=ALL
Restringir ciphersuite a COM o GOV
117. Troubleshooting
118. Técnicas de Troubleshooting Funciona NFuse eliminando CSG y STA?
Qué conexión falla?
Habilitar verbose logging en STA configurando LogLevel=3 in CtxSta.config
Habilitar verbose logging en pasarela CSG ejecutando la utilidad de configuración del servicio
Añadir contadores de rendimiento de Gateway y al servidor Windows 2000
119. Problemas comunes: El certificado CSG no está correctamente instalado
IIS en la STA está bloqueado, impidiendo comunicaciones XML/HTTP anónimas – usar la herramienta de debugging de web server en CTX052061 para el troubleshooting
Firewall interno no permite comunicación HTTP con STA (debe ser HTTP, no HTTPS)
Firewall externo times out conexiones - habilitar ICA Keep-Alive’s para mantener la sesión
120. Troubleshooting
Consejos:
Verificar que todas las máquinas que participan en la implementación de CSG pueden hacer ping por su FQDN.
Netstat, para verificar que la CSG gateway está escuchando por el puerto 443 (https).
Netstat, para verificar que la STA está escuchando por el puerto 80 (http).
Verificar la versión de cliente: ICA 6.30 o superior
Encriptación 128 bit del navegador
121. Debug.asp output CTX052061 – Herramienta de análisis y debugging de servidor web Citris (debug.asp)
Ayuda en troubleshooting de problemas de configuración relacionados con IIS
Inspecciona un servidor web con IIS e informa del estado del servidor NFuse, STA o servidor MF con servicio XML +IIS
122. Ejemplo fichero log STA D:\InetPub\Scripts\sta20021011-00.log:
INFORMATION 2002\10\11:09:51:49 CSG1302 CtxSTA.dll Unloaded
INFORMATION 2002\10\11:14:16:26 CSG1301 CtxSTA.dll Loaded
INFORMATION 2002\10\11:14:16:26 CSG1305 Request Ticket - Successful AEDE0237301BB971C6FD964156A12CF4 192.168.0.152:1494
INFORMATION 2002\10\11:14:18:56 CSG1305 Request Ticket - Successful F67755CDB77C8D0190BEA0866E80468B 192.168.0.152:1494
INFORMATION 2002\10\11:14:18:59 CSG1304 Request Data - Successful F67755CDB77C8D0190BEA0866E80468B 192.168.0.152:1494
INFORMATION 2002\10\11:14:31:26 CSG1303 Ticket Timed Out AEDE0237301BB971C6FD964156A12CF4
INFORMATION 2002\10\11:15:00:24 CSG1302 CtxSTA.dll Unloaded
123. Contadores de rendimiento STA
124. Contadores de PerfMon En la Secure Ticketing Authority :
STA Bad Data Request Count
STA Bad Save Request Count
STA Good Data Request Count
STA Good Save Request Count
STA Good Ticket Request Count
STA Peak Data Request Rate
STA Peak Save Request Rate
STA Peak Ticket Request Rate
STA Save Request Rate
STA Ticket Timeout Count
125. Contadores de rendimiento Gateway
126. Contadores PerfMon Active Session Count
Client Connections Accepted
Client Connections Failed
Client Connections Timed Out
Global Clients to Gateway Bytes
Global Clients to Gateway Packets
Global Gateway to Client(s) Bytes
Global Gateway to MetaFrame server bytes
Global MetaFrame server to Gateway Bytes
127. Dsiponibilidad CSG v1.1 Precio
Sin ningún coste - beneficio de la Subscription Advantage.
CSG NO se vende a clientes de MetaFrame XP para Windows o MetaFrame para UNIX que no hayan comprado con Subscription Advantage
Disponibilidad
Clientes de MetaFrame XP (Windows o UNIX), y con contrato de Subscription Advantage válido y activo pueden descargar CSG desde el Citrix Secure Portal en www.citrix.com/mycitrix - Subscription Advantage benefit fulfillment.
CSG v1.1 Windows (English) available on MF FR2 Components CD
CSG v1.1 Solaris available from Citrix Secure Portal for Subscription Advantage Customers
Licencias
Licencias en los servidores MetaFrame, no requiere licencia adicional
129. Available Resources:White Papers “RSA Setup Guide’ by David Kim
Installing the ACE server from a Citrix Admin perspective
Contact your local Citrix SE for a copy
“RSA SecurID Ready Implementation Guide
www.rsasecurity.com
“Securing Citrix with SafeWord PremierAccess”
www.securecomputing.com
130. Available Resources:Code Secure Computing Universal Web Agent
www.securecomputing.com
RSA ACE/Agent 5.0
www.rsasecurity.com
Project Willamette
www.iscnet.co.uk, http://www.tweakcitrix.com
Project Columbia
www.citrix.com/cdn, http://www.tweakcitrix.com
Free One Year SSL Certificate
www.freessl.com
131. knowledgebase de Citrix CTX808625 : Common certificate and private key problems
CTX711855 : Common SSL Error messages and their causes
CTX799332 : Running CSG and NFuse/IIS on the same server
CTX338681 : Troubleshooting STA connectivity
CTX552703 : Using private SSL certificates with the ICA Java client and NFuse Classic 1.7
CTX955678 : Using private CA root certificates with UNIX ICA clients
CTX678219 : Configuring NFuse 1.61 to work with CSG)
