310 likes | 638 Vues
Agenda. NFuse y CSG backgrounderFuncionalidad de Citrix Secure GatewayComponentesArquitectura de Citrix Secure Gateway (CSG): Arquitectura
E N D
1. Conceptos Prcticos de CSG integracin con Nfuse
2. Agenda NFuse y CSG backgrounder
Funcionalidad de Citrix Secure Gateway
Componentes
Arquitectura de Citrix Secure Gateway (CSG):
Arquitectura ptima
Posibles arquitecturas CSG
Autentificacin para utilizar CSG
Certificados
Demostracin con RSA
Integracin CSG con NFuse
Instalacin y configuracin de CSG
3. Qu es Citrix Secure Gateway?
Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a travs de Internet desde cualquier dispositivo.
4. Amenazas comunes
Brute Force password crack: identificar passwords
IP spoofing: paquetes intrusos externos
Man-in-the-middle: intercepta paquetes y los modifica
Denial-of-service: ataque a un servidor: overloaded ? crash Brute Force attack repeated attempts to identify passwords of user accounts on a network. Ex. L0ftcrack, dictionary attacks
IP spoofing an attacker transmits packets from outside the trusted network, masking them as packets originating from the internal, trusted network
Man-in-the-middle attack an attacker intercepts packets in transit and also modifys them to suit his/her own purposes
Denial-of-Service attack also know as a Syn flood, an attacker floods a target server with specific purposes of overloading it so it crashes and can no longer service its intended usersBrute Force attack repeated attempts to identify passwords of user accounts on a network. Ex. L0ftcrack, dictionary attacks
IP spoofing an attacker transmits packets from outside the trusted network, masking them as packets originating from the internal, trusted network
Man-in-the-middle attack an attacker intercepts packets in transit and also modifys them to suit his/her own purposes
Denial-of-Service attack also know as a Syn flood, an attacker floods a target server with specific purposes of overloading it so it crashes and can no longer service its intended users
5. NFuse y CSG backgrounder NFuse con extensin a un servidor web
Soportado en varias plataformas IIS, Apaches, iPlanet, Websphere..
Es el Programa Neighborhood webificado
Permite la publicacin de aplicaciones va un servidor web
Cada usuario puede ver su application set
CSG es para permitir un acceso seguro
Es un VPN para ICA o un gateway SSL/TLS
Es bonito.y permite la admin/config del cliente ICA de forma centralizada CSG: Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a travs de Internet desde cualquier dispositivoCSG: Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a travs de Internet desde cualquier dispositivo
9. Soluciones de Seguridad Citrix offers a variety of security solutions to meet your needs. These solutions range from lower security (ICA) up to the highest security (Virtual Private Network (VPN)).
Citrix offers a variety of security solutions to meet your needs. These solutions range from lower security (ICA) up to the highest security (Virtual Private Network (VPN)).
10. Cundo usar Secure ICA o SSL Relay Usar SecureICA cuando...
Sea necesario acceso seguro a Win 16 o DOS
Se tienen dispositivos/ clientes ICA antiguos que no pueden ser actualizados
Existe un riesgo considerable de ataque man-in-the-middle
Intranet / WAN / LAN interna
Usar SSL Relay cuando...
Pequeo nmero de servidores MetaFrame a soportar (<5)
No hay necesidad de asegurar el acceso al DMZ
No hay necesidad de esconder las direcciones IP de los servidores o cuando se usa NAT.
Se necesita encriptacin de datos end-to-end entre cliente y servidor
11. Cundo usar CSG o VPN Usar CSG cuando:
Gran nmero de servidores a soportar
Se quiere esconder direccin de red interna
Se quiere securizar DMZ
Necesidad de autenticacin de 2 factores (con NFuse Classic)
Necesidad de instalacin de cliente non-intrusive ej. Internet cafs
Diferencias principales entre soluciones SSL Relay y CSG. SSL Relay:
Necesita ser configurado en cada servidor MF que requiere acceso SSL
Requiere certificados instalados en cada servidor
No realiza una autenticacin / autorizacin independiente
Usar una solucin VPN cuando:
Se necesite autenticacin 2 factores
Se necesite securizar todo el trfico (no slo ICA)
Se quiere securizar DMZ
El acceso se realiza normalmente desde la misma workstation ej.OK instalar un cliente adicional
Se quiere usar IPSEC
12. Citrix Secure Gateway Beneficios
Seguridad en sesiones ICA:
Encriptacin basada en estndars
protege contra ataque man-in-the-middle (Secure ICA es vulnerable a ste)
Oculta servidores MetaFrame desde Internet se accede mediante una conexin SSL segura
Utilizacin de Puertos Estandar: 443 en lugar de 1494
Producto sin costes para clientes con Subscription Advantage
Sin cliente adicional
Fcil para el usuario (total integracin con NFuse)
CSG 1.1 funciona con NFuse Classic 1.7, NFuse Elite 1.0, y Enterprise Services for NFuse 1.7
Weaknesses
Slo vlido para aplicaciones MetaFrame
Requiere servidores adicionales
13. Lo nuevo en CSG 1.1 Soporte Solaris - Solaris 8 on SPARC
NFuse Classic 1.7 soporta CSG de forma nativa
Interfaz de usuario de instalacin mejorado
Encriptacin TLS v1.0 y SSL v3.0
Criptografa: GOV, COM, o ALL
FIPS 140-1 certified crypto modules
Rendimiento mejorado: CSG 1.1 soporta ms usuarios que CSG1.0
Logging de CSG mejorado: Windows system log
Certificacin Microsoft Windows 2000
Lista de direcciones IP evitadas en el log (ej. network load balancer)
Soporte Client Proxy (Cliente ICA v6.3)
15. Flujo de trfico CSG
16. Componentes CSG Servicio CSG
El programa CSG mismo
NFuse Classic o NFuse Elite o ESNFuse
Extensiones incluidas en NFuse 1.7. No es necesario instalar separadarmente como en versiones anteriores
Secure Ticketing Authority (STA)
Genera tickets a los clientes usuarios del portal. Estos forman la base de la autenticacin y autorizacin para conexiones ICA a servidores MetaFrame
17. CSG for Windows Gateway Service Windows 2000 native Service
En DMZ, no requiere IIS
Diseo multi-threaded alta eficiencia y rendimiento
Utiliza Microsoft S-Channel para funciones SSL/TLS
Es necesario un certificado de servidor para autenticacin de servidor SSL
Construir arrays de CSG para escabilidad y tolerancia a fallos usando balanceadores de carga externos estndar (network load balancer)
Herramienta de configuracin GUI
Pequeo beneficio de SSL accelerators The reason why we get a small benefit from typical SSL accelerators is because they only actually accelerate the initial authentication process, and NOT the bulk encryption. Once the SSL session is authenticated the actual bulk encryption is symmetric, and quite CPU efficient. In practice we are finding minimal additional connection latency.The reason why we get a small benefit from typical SSL accelerators is because they only actually accelerate the initial authentication process, and NOT the bulk encryption. Once the SSL session is authenticated the actual bulk encryption is symmetric, and quite CPU efficient. In practice we are finding minimal additional connection latency.
18. CSG for Solaris daemon Soporte Solaris on SPARC v8
Multithreaded Solaris daemon
Incluye herramientas de gestin de certificado
OpenSSL embebido para funciones SSL/TLS
Es necesario un certificado de servidor para autenticacin de servidor SSL
Construir arrays de CSG para escabilidad y tolerancia a fallos usando balanceadores de carga externos estndar (network load balancer)
19. Secure Ticketing Authority (STA) Genera tickets durante el establecimiento de la conexin
STA es una ISAPI (Internet Server Application Program Interface) DLL
Debe instalarse en un servidor Windows 2000 con servicio IIS www
Extremely lightly loaded service
Se pueden definir varias STAs redundantes
No debera ser accesible desde fuera de la DMZ
Se comunica con CSG y NFuse mediante el protocolo XML sobre HTTP. Puerto configurable
Enlaces a CSG y NFuse se pueden securizar con Windows 2000 Server to Server VPN
Fcilmente configurable mediante la herramienta GUI de configuracin
21. CSG Ticketing
24. CSG paso a paso Proceso de lanzar Wordpad usando CSG
La mayor parte del trabajo de inicio de conexin lo realiza NFuse
Una vez establecida la conexin, NFuse termina su trabajo, y se puede cerrar sin que afecte a la aplicacin publicada
25. Usuarios se validan en NFuse Abrir un navegador y apuntar a la pgina de validacin de NFuse
Conexin estandard HTTP o HTTPS al servidor web NFuse usando puerto 80 o 443
Teclear nombre de usuario y contrasea, clic botn para enviar credenciales al servidor web
El servidor web recibe nombre de usuario y contrasea
26. NFuse ?XML? MF1 El servidor web NFuse redirige las credenciales al servidor MetaFrame (MF1) corriendo el servicio Citrix XML
El servicio XML enva la lista de aplicaciones e iconos XML para el usuario actual a NFuse
NFuse formatea la pgina como HTML para el usuario
27. Usuario hace clic en un icono de aplicacin Cuando el usuario hace clic en el icono de una aplicacin (Wordpad), se enva una peticin HTTP a NFuse
Un icono es un hyperlink a launch.asp?NFuse_Application=Wordpad
28. NFuse pide detalles para Wordpad La peticin de lanzamiento de la aplicacin del usuario genera otra transaccin XML entre NFuse y MetaFrame: qu servidor est menos cargado?
Las reglas de Citrix Load Management determina cul es el servidor menos cargado y disponible
La direccin del servidor se puede devolver como una direccin IP normal, alternate address, IP:port, DNS name o DNS:port
29. MetaFrame localiza servidor menos cargado El servicio XML de MF1 pregunta al Data Collector (DC) de la zona cul es el servidor MetaFrame menos cargado que sirve esa aplicacin
En este ejemplo, MF2 es el menos cargado
MF1 enva las credenciales del usuario al servicio XML de MF2
MF2 genera un ticket NFuse y lo devuelve a MF1
30. MF1 enva la direccin de MF2 a NFuse El servicio XML primario enva los datos XML a NFuse de nuevo, indicando la direccin del servidor menos cargado (MF2)
NFuse tambin recibe el ticket NFuse generado por MF2 para las credenciales del usuario actual
El ticket NFuse permanecer en memoria de MF2 hasta que es utilizado por WinLogon o expira (por defecto 200 segundos)
31. NFuse enva la direccin de MF2 a STA NFuse ya sabe quin es el servidor menos cargado: MF2
Sin CSG, Nfuse colocara la direccin de MF2 en un fichero ICA, que pasara al usuario.
Con CSG, NFuse enva la direccin de MF2 a STA y recibe un ticket CSG de vuelta
STA genera un ticket para NFuse y almacena la direccin de MF2 en memoria
32. El usuario recibe el fichero ICA NFuse recoge toda la informacin que tiene y genera un fichero ICA dinmico para esta conexin
El contenido del fichero ICA se basa en el fichero TEMPLATE.ICA
El fichero launch.ica se devuelve al navegador usando el application/x-ica MIME type, triggering users ICA client
El ticket STA aparece en el fichero launch.ICA, en la lnea address, ej: Address=;10;STA01;FE0A7B2CE2E77DDC17C7FD3EE7959E79
33. El cliente conecta con la pasarela CSG El cliente abre una conexin con la pasarela CSG, que estaba en el fichero ICA, como SSLProxyHost
Se produce un handshake SSL estndar:
El servidor CSG debe enviar una cadena de certificado vlida al cliente
El CA root certificate debe ser instalado y trusted por el cliente
El FQDN del servidor como aparece en el fichero ICA debe coincidir con el nombre (subject name) del certificado
34. Gateway valida el ticket STA El ticket CSG producido por STA se presenta a CSG
CSG reenva el ticket de vuelta a la STA para validacin
Si la STA an tiene la direccin del servidor MF en memoria que corresponde al ticket, se pasa esa direccin del servidor MF a CSG y STA borra el ticket de memoria
CSG recibe la direccin del servidor MF2 y
35. Cliente ?SSL? CSG ?ICA? MF2 CSG abre una conexin con MF2 usando el puerto estndar ICA, estableciendo una pasarela segura a la aplicacin publicada
El ticket NFuse se presenta a MF2 para el logon de MetaFrame
Trfico entre CSG y el cliente: encriptado SSL
Trfico ICA regular entre CSG y MF2
36. Resumen de arquitectura
37. Caractersticas CSG Encriptacin y conectividad
Autenticacin
Seguridad: SSL vs TLS
CSG y Cliente ICA Java
38. Encriptacin y conectividad Securiza slo trfico ICA
Encriptacin SSL v3.0 o TLS v1.0 de 128-bit
CSG usa un certificado de servidor
Slo una direccin IP de CSG es visible desde internet
Facilidad en firewall (usa slo puerto 443)
39. Autenticacin Autenticacin proporcionada por el servidor web NFuse Classic - antes de usar CSG Single-Sign on
Mtodos de autenticacin:
Estndar:
Dominios Microsoft NT y Active Directory
Novell NDS
SmartCard
Dos factores:
Otros mecanismos para proteger servidor web de acceso no autorizado (ej RSA SecurID, SafeWord PremierAccess)
El proceso de autenticacin se puede securizar adems mediante un servidor Web NFuse configurado para HTTPS
40. El riesgo del password Autenticacin de slo un factor
Fcil de capturar (hacked, stolen, borrowed, guessed or sniffed)
Difcil de recordar y gestionar
41. Qu es Two Factor o Strong Authentication? Mltiples factores:
Algo que sabes
Tu PIN
Algo que tienes
Tu tarjeta / token
Ejemplo: cajeros automticos
Algo que hace el dispositivo
Genera un nuevo password en cada logon
Utiliza encriptacin avanzada o certificados digitales
42. Opciones de integracin de autenticacin de dos factores
43. User hits an RSA/Secure Computing page and authenticates with their token code
User hits NFuse Classic page and authenticates with their username and password
User hits an RSA/Secure Computing page and authenticates with their token code
User hits NFuse Classic page and authenticates with their username and password
44. 2a. Single Logon ScreenSafeWord PremierAccess Solution
45. 2b. Single Logon ScreenRSA with Proyecto Willamette
46. 3. Custom SolutionCitrix Internal CSG Site
47. SSL vs TLS SSL es un protocolo abierto, no propietario, estndar que permite el intercambio de informacin en Internet
TLS es la ltima versin estandarizada del protocolo SSL. TLS versin 1.0 est soportado a partir de MetaFrame XP Feature Release 2 (No FR1) y clientes v6.30
Hay pocas diferencias entre SSL y TSL, por lo que los certificados de servidor SSL usados en una instalacin MF son vlidos para TLS
Los protocolos SSL/TLS permiten que datos confidenciales sean transmitidos en redes pblicas, como Internet, propocionando:
Autenticacin: El cliente puede determinar la identidad de un servidor y estar seguro de su autenticidad. Opcionalmente, un servidor puede autenticar la identidad del cliente que quiere establecer una conexin
Privacidad: Los datos entre cliente y servidor estn encriptados, de dorma que si un tercero intercepta los mensajes, no puede descifrar el contenido
Integridad de datos: El receptor de los datos encriptados sabr si un tercero ha corrompido o modificado datos
48. SSL/TLS Captura el mensaje a transmitir
Fragmenta los datos en bloques
Hace compresin de datos (opcionalmente)
Aplica hash
Encripta
Transmite
49. CSG y cliente Java Solucin Internet Caf Solucin basada en Java applet, no necesita nada pre-instalado en mquina local
El cliente se descarga y ejecuta va el browser.
La solucin requiere
MetaFrame XP
Citrix NFuse Classic 1.7
Citrix Secure Gateway
Cliente ICA Java, en modo applet (incluido en NFuse Classic 1.7)
Admite autenticacin RSA SecureID, SafeWord PremierAccess
Los certificados SSL pueden ser de un servidor de certificados MS propio o de una organizacin comercial
50. Instalacin CSG
51. Implementacin de CSG Requerimientos de los componentes
Instalacin de Certificados
Comprobacin Checklist
Instalacin de componentes
Servidor STA
Instalacin NFuse
Servidor CSG
Configuracin NFuse
53. Requerimientos de los componentes CSG Ensure that Citrix SSL Relay is not installed on your MetaFrame servers or is disabled. Citrix Secure Gateway cannot be used in an environment containing Citrix SSL Relay.
Ensure that Citrix SSL Relay is not installed on your MetaFrame servers or is disabled. Citrix Secure Gateway cannot be used in an environment containing Citrix SSL Relay.
55. Instalacin de componentes Se recomienda seguir el siguiente orden:
1. Instalacin de Secure Ticketing Authority (STA)
2. Instalacin de CSG Gateway
Peticin e instalacin del certificado SSL
Deshabilitar o eliminar IIS en servidores Windows
Instalar software de la pasarela
3. Configuracin de NFuse para usar CSG
NFuse 1.61 o superior soporta CSG de forma nativa
NFuse Classic 1.7 puede usar CSG para clientes externos y evitar CSG para clientes internos
56. Step 1: Instalacin de STA
57. STA IIS permissions required of /Scripts
58. STA IIS permissions required of /Scripts
59. STA IIS permissions required of /Scripts
60. Instalacin de STA
61. Step 2: Instalacin de CSG
62. Instalar NFuse CD Componentes MetaFrame XP - NFuse Classic - wizard
64. Ejemplo Certificado SSL
65. Ejemplo Certificado
66. Ejemplo Certificado
67. Instalacin de certificados En un despliegue CSG se usan dos tipos de certificados digitales:
Server certificate
Identifica una mquina concreta, por ej el servidor Secure Gateway.
Hay que instalar un server certificate en cada servidor y servidor NFuse
Root certificate
Identifica la CA que firma el server certificate. El root certificate pertenece a la CA .
Necesario en cada dispositivo cliente ICA que se conecte al servidor web
Cada web certificate (clave privada) necesita un root certificate (clave pblica)
68. Server Certificates Server certificates son nicos para un nombre de servidor particular
El subject del certificado es el FQDN del servidor
Ver el Certification Path para averiguar qu autoridad certificadora (CA) gener este certificado
69. Root Certificates Root certificates (certificados CA) son entidades self-signed usadas para verificar certificados de servidor
Si se confa en una CA, instalar su root certificate.
Si el dispositivo cliente tiene SO Windows 32-bit (Windows 95, Windows 98,Windows NT, o Windows 2000), root certificates estn automticamente disponibles para varias CA pblica administracin 0 en workstation
. Ej:Verisign, Baltimore, RSA, Thawte
70. Instalacin de certificados
71. Cmo obtener Certificados Obtener certificados de:
Autoridad certificadora (Certificate Authority - CA) privada
CA Pblica
Cert de evaluacin de una CA pblica (Baltimore, Verisign,)
Gua para crear una autoridad certificadora: http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp
Gua para instalar root certificate en cliente: http://www.microsoft.com/TechNet/prodtechnol/windows2000serv/deploy/walkthru/enducert.asp
72. Instalacin de certificados 1. Crear peticin de certificado desde IIS admin Windows 2000 -wizard
Para obtener un certificado SSL de una CA, primero hay que generar un fichero CSR (Certificate Signing Request) para usarlo en la generacin de un web server certificate. Al terminar este proceso, habr que enviarlo a la CA o seguir las instrucciones de la CA para generar un certificado
Clave 1024 bits, FQDN name y common name, cert.txt
No borrar la peticin pendiente ? el fichero .crt no coincidir y el certificado no se instalar
Sera posible - certificate request wizard de IIS en CSG server -despus deshabilitar o desinstalar IIS del servidor CSG para liberar el puerto 443
73. Instalacin de certificados Crear peticin de certificado desde IIS admin Windows 2000 -wizard
74. Instalacin de certificados 2. Enviar el CSR a la CA y esperar a recibir el certificado SSL
Seguir proceso especificado por la CA pblica o privada que se est usando
Ej. Certificado de evaluacin de Baltimore: completar formulario online http://www.baltimore.com/omniroot/SSL/try.asp
3. Salvar fichero de respuesta del certificado enviado por la CA como un certificado X.509 (formato CER)
75. Instalacin de certificados 4. Instalar SSL Web Server Certificate
Desde IIS Admin, seleccionar Directory Security para instalar el certificado
76. Aadir certificados a MMC La consola Microsoft Management Console (MMC) no est preconfigurada para certificados.
Configurarla para poder Exportar/Importar
77. Back up de certificados Preparado para usar certificados SSL. Antes hacer backup, por si se reinstala el servidor o se mueve el certificado a otro servidor con el mismo nombre FQDN
Restaurar certificado SSL: importar certificado backup (.pfx) - MIAB
78. Instalar MS Certificate Server 1. Instalar MS Certificate Services en un servidor Windows 2000
Use Add/Remove Programs>Windows Components
Seleccionar Advanced usar encriptacin 1024 bit
79. Instalacin de certificados 2. Generar peticin de Certificado en IIS (usar 1024 bit) similar a la peticin para CA pblica
Ir a la URL http://[server]/certsrv para acceder al servidor de certificados
Web Server from the Certificate Template drop down box
80. Instalacin de certificados
81. Verify SSL Connectivity ICA Systray Icon, or the active Citrix window right click and choose properties or mouse over the connection to display the encryption status.
82. Instalar servicio CSG CD Componentes MetaFrame XP - Citrix Secure Gateway - Secure Gateway Service
Wizard licencia configuration utility
83. Step 3: Configure NFuse Classic Opciones Nfuse
NFuse 1.6 + Proyecto Columbia
NFuse 1.61 soporta CSG de forma nativa
NFuse Classic 1.7
Recomendacin:
Utilizar NFuse Classic 1.7 si es posible. Permite distinguir entre usuarios internos que no utilizan CSG (al igual que Columbia).
84. CSG Architecture(Usuarios internos)
86. CSG con NFuse 1.6 + Project Columbia Editar config.txt para incluir lo siguiente:
CSG_Enable=On
CSG_Gateway=csg.company.com:443
CSG_STA=http://10.3.2.1:80/Scripts/CtxSta.dll
CSG_InternalNetworks=10.,192.168.
En este ejemplo, usuario cuya direccin IP empieza por 10. o 192.168. pasaran de CSG y accederan directamente a servidores MetaFrame
Cuando se use Columbia, no aadir entradas CSG a NFuse.conf
Ms detalles en el fichero de ayuda de Columbia
87. CSG con Nfuse 1.61 Es necesario realizar cambios en:
%ProgramFiles%\Citrix\Nfuse\Nfuse.conf
SessionField.Nfuse_CitrixServer= <IP Metaframe XML Service>
SessionField.Nfuse_CitrixServerPort= <Puerto XML Service>
SessionField.Nfuse_CSG_Enable= ON
SessionField.Nfuse_CSG_STA_URL1= http://STAServer1/Scripts/CtxSta.dll
SessionField.Nfuse_CSG_Server= <FQDN del servidor CSG>
SessionField.Nfuse_CSG_Server_Port= 443
Funciona con versiones Windows y UNIX de NFuse 1.61
Afecta a todos los usuarios, incluido los internos
88. CSG con NFuse 1.7Configurar NFuse usando NFuse Admin Utilidad grfica de administracin que edita el fichero nfuse.conf (almacena configuraciones)
Pgina de administracin por defecto http://[server]/Citrix/NFuseadmin.
Especificar direccin servidor Metaframe, puerto XML
Configurar para Citrix Secure Gateway
Controlar despliegue de clientes ICA, y cliente Java
Configurar firewalls (Server and Client side)
Login page de NFuse
Pgina por defecto http://server/Citrix/NFuse17
Se puede modificar
89. NFuse Admin
90. NFuse Admin CSG Settings MF Server Especificar direccin del servidor(es) Metaframe y puerto XML
91. NFuse Admin Settings - CSG Check Citrix Secure Gateway
Soporta usuarios CSG y no CSG (internos)
93. CSG con NFuse Classic 1.7 Unix En NFuse Classic 1.7 para UNIX, es necesario modificar NFuse.conf manualmente:
AddressTranslation=Mapped
ClientAddressMap=10.,Normal,*,CSG
SessionField.NFuse_CSG_AddressTranslation=Normal
SessionField.NFuse_CSG_Server=csg.company.com
SessionField.NFuse_CSG_ServerPort=443
SessionField.NFuse_CSG_STA_URL1= http://10.3.2.1/Scripts/CtxSta.dll
94. .
.
95. Posibles arquitecturas CSG
96. Expandiendo o reduciendo CSG La arquitectura de libro de CSG se compone de un servidor para cada componente: NFuse, CSG y STA
En despliegues pequeos distintos componentes pueden compartir hardware
En despliegues grandes, se recomienda tener componentes redundantes y balanceados
97. Un servidor para todo Recomendado slo para demostraciones: instalar Windows 2000, IIS, MetaFrame, NFuse, CSG y STA todo en un servidor
Cambiar el puerto CSG de 443 a 1443 (o cualquier otro)
Utilizar http://localhost/Scripts/CtxSta.dll como la URL STA
Usar localhost:80 como servicio XML MetaFrame
98. Compartir STA con MetaFrame STA supone poca carga y se puede compartir con un servidor MetaFrame o cualquier otro servidor IIS
Como antes, cambiar puerto CSG para albergar NFuse y CSG en el mismo servidor, o asignar dos direcciones IP al servidor NFuse/CSG y seguir las instrucciones del documento CTX799332 para deshabilitar socket pooling en IIS
99. Colocar STA en un Control Server A medida que la granja crece, conviene separar NFuse y CSG en distintas mquinas
Aislar un servidor MetaFrame como control server: en vez de servir aplicaciones publicadas, acta de data collector de la zona, servicio XML primario y STA
100. Textbook installation Para reducir trfico XML en el control server MetaFrame, separar STA en otra mquina no-MetaFrame
En un despliegue tpico, slo NFuse y CSG residen en una DMZ (Demilitarized Zone)
Firewall exterior: puerto 443 para NFuse y CSG
Firewall interior: trfico HTTP por puerto 80 a la STA y MetaFrame control server, y trfico ICA en puerto 1494 desde CSG a todos los servidores MetaFrame
101. Pasarelas y servidores web redundantes Cualquier mtodo de balanceo de carga basado en sesin puede ser utilizado con los servidores web o gateways: DNS round-robin, MS Network Load Balancing or hardware load balancers
El mismo certificado y clave privada estaran instalados en cada servidor CSG (csg.company.com)
Despus de instalarlo en el primer servidor, exportar el certificado y clave privada a un fichero .pfx
En los otros servidores CSG, importar el fichero .pfx utilizando MMC snap-in
102. Mltiples servidores de control MetaFrame NFuse Classic 1.7 puede hacer balanceo de carga entre varios servicios XML (round-robin)
Si la granja es grande, dividirla en zonas, y usar cada DC como control server para NFuse
103. Multiple STAs Alta disponibilidad Si se usa ms de una STA, cada una debe tener su identificador nico (STA01, STA02, etc)
NFuse Classic 1.7 puede hacer balanceo de carga de STA (round-robin)
CSG se dirige a la STA elegida por NFuse. El STA ID est incluido como parte del ticket. CSG debe ser capaz de resolver cada STA ID con su URL correspondiente:Address=;10;STA01;FE0A7B2CE2E77DDC17C7FD3EE7959E79
104. Securidad en CSG The Citrix Secure Gateway is an application specific proxy, and as such is relatively secure. It is not a firewall and should not be used as such. Citrix highly recommends that you use a firewall to protect Citrix Secure Gateway and other corporate resources from unauthorized access from the Internet, as well as unauthorized access from internal users.
The Citrix Secure Gateway is an application specific proxy, and as such is relatively secure. It is not a firewall and should not be used as such. Citrix highly recommends that you use a firewall to protect Citrix Secure Gateway and other corporate resources from unauthorized access from the Internet, as well as unauthorized access from internal users.
105. Seguridad Security basics:
Buen diseo incluyendo seguridad fsica
Habilitar Auditing herramientas propias o de terceros
Lockdown sistema de ficheros local Windows o Unix
Mantener actualizado con hotfixes y security patches
HFNETCHK.EXE atwww.microsoft.com/technet
HFNetChk herramienta command-line que permite al adminstrador comprobar el estado de los patches en mquinas Windows NT 4.0, Windows 2000, y Windows XP
http://www.Microsoft.com/security/
Product is only one aspect of securing a connection. More importantly, is methodology. Citrix Secure Gateway relies on a change in security methodology for part of its security, and some security basics are important to consider as a part of securing the actual CSG product. Product is only one aspect of securing a connection. More importantly, is methodology. Citrix Secure Gateway relies on a change in security methodology for part of its security, and some security basics are important to consider as a part of securing the actual CSG product.
106. Securizar entorno Secure Gateway Despleguar Citrix Secure Gateway en DMZ
Situar CSG en una DMZ entre dos firewalls
Securizar fsicamente la DMZ para prevenir acceso a firewalls
Configurar firewalls para restringir acceso slo a los puertos especficos
Secure Ticket Authority - localizacin
Security server
Contiene informacin importante de conexin
Servicio Isapi.dll puede correr en servidor de ficheros/ Citrix
Ideal: en un servidor separado
107. Securizar entorno Secure Gateway Seguir recomendaciones de seguridad de Microsoft y terceros
Eliminar componentes que no se usan
Instalar software mnimo
Usar polticas para restringir clientes
Controlar accesos
Sistema de ficheros
NTFS
Mnimos derechos necesarios
Lockdown local file system Windows or Unix
Microsoft IIS Lockdown tool (MIAB)
Securiza servidor web IIS
Disponible en http://download.microsoft.com/download/iis50/Utility/2.1/NT45/EN-US/iislockd.exe
108. Deshabilitar servicios innecesarios En servidores Windows 2000 por defecto hay unos 31 servicios innecesarios
Computer Browser, DHCP, DFS, Fax Service, Internet Connection Sharing, Messenger
Deshabilitar en Services MMC Snap-in de Windows 2000
Vlido igualmente para Solaris
Armoring Solaris II, July 2002, Lance Spitner
www.phoneboy.com
109. Securizar Windows Securizar Windows 2000 File system:
DumpSec
Hyena
Windows 2000 Resource kit tools
Incluyen herramientas para gestionar informacin de permiso de ficheros, de usuario, cuentas, lista de shares DumpSec, by Somarsoft, used to be called DumpACL and is useful for dumping share, and file permissions to the screen, or outputted to a file for use. This screen shows what such output looks like showing both the account, and the permission assigned to that account.
Hyena allows for you to, at a glance, see an aggregate list of shares or local user rights to the specific machine you are looking at. It also allows one to see specific user rights and other security information including event logs in one user interface
DumpSec, by Somarsoft, used to be called DumpACL and is useful for dumping share, and file permissions to the screen, or outputted to a file for use. This screen shows what such output looks like showing both the account, and the permission assigned to that account.
Hyena allows for you to, at a glance, see an aggregate list of shares or local user rights to the specific machine you are looking at. It also allows one to see specific user rights and other security information including event logs in one user interface
110. Securizar Windows Host based security scanner to check vulnerabilities
Symantec Net Recon
ISS System Scanner
Langaurd, Shadow Tools or other free scanner
Escanean hosts y comprueban puntos vulnerables: ej puertos abiertos
Information about the Windows file system is very important in knowing what to lock down. Equally important is having a full understanding about the vulnerabilities of each host that will be exposed as a part of your security solution. There are many free, and paid tools to allow you to do this. Some of which are mentioned here, from host-based scanners such as NetRecon or System Scanner to free tools like Languard and Shadow Tools. These tools will let you perform host by host vulnerability scans to check for other things such as open ports, and others.
Once these scans are performed, it is important to keep up with security patches and hotfixes as they are released. Microsoft has a website to keep network administrators and other IT Professionals up to date on these patcheswww.microsoft.com/security
Information about the Windows file system is very important in knowing what to lock down. Equally important is having a full understanding about the vulnerabilities of each host that will be exposed as a part of your security solution. There are many free, and paid tools to allow you to do this. Some of which are mentioned here, from host-based scanners such as NetRecon or System Scanner to free tools like Languard and Shadow Tools. These tools will let you perform host by host vulnerability scans to check for other things such as open ports, and others.
Once these scans are performed, it is important to keep up with security patches and hotfixes as they are released. Microsoft has a website to keep network administrators and other IT Professionals up to date on these patcheswww.microsoft.com/security
111. Autenticacin Citrix Secure Gateway es una solucin de acceso remoto
Utilizar autenticacin segura, industry standard, two-factor authentication
Certificados
Tolken-based ej. RSA SecureID
Secure Computing
Seguridad external E Interna!
112. Poltica Local Poltica de Password
History requirement
Password age - expiracin
Character length
Force requirements to be met
Cuentas de usuarios
Deshabilitar cuentas de usuario no utilizadas
Default IIS account, Guest
113. Anonymous Access After disabling the auto-created anonymous user account for IIS on both the Nfuse Web, and STA servers, create a new anonymous access account. Then give the account rights for the web servers.After disabling the auto-created anonymous user account for IIS on both the Nfuse Web, and STA servers, create a new anonymous access account. Then give the account rights for the web servers.
114. Auditing Auditar eventos locales
MMC Security and Analysis Snap-in
Tamao event log aumenta hasta 500MB
Backups peridicas del event log
Objetos especficos para auditar:
Gestin de cuentas
Eventos de Logon
Cambio poltica
115. Securizar entorno Secure Gateway
Restringir Ciphersuites
Ciphersuite define tipo de encriptacin: algoritmo, parmetros (keys size)
Establecer una conexin segura implica negociar el ciphersuite utilizado en las comms. ICA client informa a CSG los ciphersuites que soporta y CSG informa al cliente el ciphersuite que se utilizar
CSG soporta 2 categoras de ciphersuite:
COM (commercial)
GOV (government).
Opcin ALL incluye ambas
HKLM\SYSTEM\CurrentControlSet\Services\CtxSecGwy\Global\CipherStrength=ALL
Restringir ciphersuite a COM o GOV
117. Troubleshooting
118. Tcnicas de Troubleshooting Funciona NFuse eliminando CSG y STA?
Qu conexin falla?
Habilitar verbose logging en STA configurando LogLevel=3 in CtxSta.config
Habilitar verbose logging en pasarela CSG ejecutando la utilidad de configuracin del servicio
Aadir contadores de rendimiento de Gateway y al servidor Windows 2000
119. Problemas comunes: El certificado CSG no est correctamente instalado
IIS en la STA est bloqueado, impidiendo comunicaciones XML/HTTP annimas usar la herramienta de debugging de web server en CTX052061 para el troubleshooting
Firewall interno no permite comunicacin HTTP con STA (debe ser HTTP, no HTTPS)
Firewall externo times out conexiones - habilitar ICA Keep-Alives para mantener la sesin
120. Troubleshooting
Consejos:
Verificar que todas las mquinas que participan en la implementacin de CSG pueden hacer ping por su FQDN.
Netstat, para verificar que la CSG gateway est escuchando por el puerto 443 (https).
Netstat, para verificar que la STA est escuchando por el puerto 80 (http).
Verificar la versin de cliente: ICA 6.30 o superior
Encriptacin 128 bit del navegador
121. Debug.asp output CTX052061 Herramienta de anlisis y debugging de servidor web Citris (debug.asp)
Ayuda en troubleshooting de problemas de configuracin relacionados con IIS
Inspecciona un servidor web con IIS e informa del estado del servidor NFuse, STA o servidor MF con servicio XML +IIS
122. Ejemplo fichero log STA D:\InetPub\Scripts\sta20021011-00.log:
INFORMATION 2002\10\11:09:51:49 CSG1302 CtxSTA.dll Unloaded
INFORMATION 2002\10\11:14:16:26 CSG1301 CtxSTA.dll Loaded
INFORMATION 2002\10\11:14:16:26 CSG1305 Request Ticket - Successful AEDE0237301BB971C6FD964156A12CF4 192.168.0.152:1494
INFORMATION 2002\10\11:14:18:56 CSG1305 Request Ticket - Successful F67755CDB77C8D0190BEA0866E80468B 192.168.0.152:1494
INFORMATION 2002\10\11:14:18:59 CSG1304 Request Data - Successful F67755CDB77C8D0190BEA0866E80468B 192.168.0.152:1494
INFORMATION 2002\10\11:14:31:26 CSG1303 Ticket Timed Out AEDE0237301BB971C6FD964156A12CF4
INFORMATION 2002\10\11:15:00:24 CSG1302 CtxSTA.dll Unloaded
123. Contadores de rendimiento STA
124. Contadores de PerfMon En la Secure Ticketing Authority :
STA Bad Data Request Count
STA Bad Save Request Count
STA Good Data Request Count
STA Good Save Request Count
STA Good Ticket Request Count
STA Peak Data Request Rate
STA Peak Save Request Rate
STA Peak Ticket Request Rate
STA Save Request Rate
STA Ticket Timeout Count
125. Contadores de rendimiento Gateway
126. Contadores PerfMon Active Session Count
Client Connections Accepted
Client Connections Failed
Client Connections Timed Out
Global Clients to Gateway Bytes
Global Clients to Gateway Packets
Global Gateway to Client(s) Bytes
Global Gateway to MetaFrame server bytes
Global MetaFrame server to Gateway Bytes
127. Dsiponibilidad CSG v1.1 Precio
Sin ningn coste - beneficio de la Subscription Advantage.
CSG NO se vende a clientes de MetaFrame XP para Windows o MetaFrame para UNIX que no hayan comprado con Subscription Advantage
Disponibilidad
Clientes de MetaFrame XP (Windows o UNIX), y con contrato de Subscription Advantage vlido y activo pueden descargar CSG desde el Citrix Secure Portal en www.citrix.com/mycitrix - Subscription Advantage benefit fulfillment.
CSG v1.1 Windows (English) available on MF FR2 Components CD
CSG v1.1 Solaris available from Citrix Secure Portal for Subscription Advantage Customers
Licencias
Licencias en los servidores MetaFrame, no requiere licencia adicional
129. Available Resources:White Papers RSA Setup Guide by David Kim
Installing the ACE server from a Citrix Admin perspective
Contact your local Citrix SE for a copy
RSA SecurID Ready Implementation Guide
www.rsasecurity.com
Securing Citrix with SafeWord PremierAccess
www.securecomputing.com
130. Available Resources:Code Secure Computing Universal Web Agent
www.securecomputing.com
RSA ACE/Agent 5.0
www.rsasecurity.com
Project Willamette
www.iscnet.co.uk, http://www.tweakcitrix.com
Project Columbia
www.citrix.com/cdn, http://www.tweakcitrix.com
Free One Year SSL Certificate
www.freessl.com
131. knowledgebase de Citrix CTX808625 : Common certificate and private key problems
CTX711855 : Common SSL Error messages and their causes
CTX799332 : Running CSG and NFuse/IIS on the same server
CTX338681 : Troubleshooting STA connectivity
CTX552703 : Using private SSL certificates with the ICA Java client and NFuse Classic 1.7
CTX955678 : Using private CA root certificates with UNIX ICA clients
CTX678219 : Configuring NFuse 1.61 to work with CSG)