1 / 31

conceptos pr cticos de csg

Agenda. NFuse y CSG backgrounderFuncionalidad de Citrix Secure GatewayComponentesArquitectura de Citrix Secure Gateway (CSG): Arquitectura

Anita
Télécharger la présentation

conceptos pr cticos de csg

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


    1. Conceptos Prcticos de CSG integracin con Nfuse

    2. Agenda NFuse y CSG backgrounder Funcionalidad de Citrix Secure Gateway Componentes Arquitectura de Citrix Secure Gateway (CSG): Arquitectura ptima Posibles arquitecturas CSG Autentificacin para utilizar CSG Certificados Demostracin con RSA Integracin CSG con NFuse Instalacin y configuracin de CSG

    3. Qu es Citrix Secure Gateway? Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a travs de Internet desde cualquier dispositivo.

    4. Amenazas comunes Brute Force password crack: identificar passwords IP spoofing: paquetes intrusos externos Man-in-the-middle: intercepta paquetes y los modifica Denial-of-service: ataque a un servidor: overloaded ? crash Brute Force attack repeated attempts to identify passwords of user accounts on a network. Ex. L0ftcrack, dictionary attacks IP spoofing an attacker transmits packets from outside the trusted network, masking them as packets originating from the internal, trusted network Man-in-the-middle attack an attacker intercepts packets in transit and also modifys them to suit his/her own purposes Denial-of-Service attack also know as a Syn flood, an attacker floods a target server with specific purposes of overloading it so it crashes and can no longer service its intended usersBrute Force attack repeated attempts to identify passwords of user accounts on a network. Ex. L0ftcrack, dictionary attacks IP spoofing an attacker transmits packets from outside the trusted network, masking them as packets originating from the internal, trusted network Man-in-the-middle attack an attacker intercepts packets in transit and also modifys them to suit his/her own purposes Denial-of-Service attack also know as a Syn flood, an attacker floods a target server with specific purposes of overloading it so it crashes and can no longer service its intended users

    5. NFuse y CSG backgrounder NFuse con extensin a un servidor web Soportado en varias plataformas IIS, Apaches, iPlanet, Websphere.. Es el Programa Neighborhood webificado Permite la publicacin de aplicaciones va un servidor web Cada usuario puede ver su application set CSG es para permitir un acceso seguro Es un VPN para ICA o un gateway SSL/TLS Es bonito.y permite la admin/config del cliente ICA de forma centralizada CSG: Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a travs de Internet desde cualquier dispositivoCSG: Acceso seguro y simple a aplicaciones servidas por Servidores Citrix Metaframe a travs de Internet desde cualquier dispositivo

    9. Soluciones de Seguridad Citrix offers a variety of security solutions to meet your needs. These solutions range from lower security (ICA) up to the highest security (Virtual Private Network (VPN)). Citrix offers a variety of security solutions to meet your needs. These solutions range from lower security (ICA) up to the highest security (Virtual Private Network (VPN)).

    10. Cundo usar Secure ICA o SSL Relay Usar SecureICA cuando... Sea necesario acceso seguro a Win 16 o DOS Se tienen dispositivos/ clientes ICA antiguos que no pueden ser actualizados Existe un riesgo considerable de ataque man-in-the-middle Intranet / WAN / LAN interna Usar SSL Relay cuando... Pequeo nmero de servidores MetaFrame a soportar (<5) No hay necesidad de asegurar el acceso al DMZ No hay necesidad de esconder las direcciones IP de los servidores o cuando se usa NAT. Se necesita encriptacin de datos end-to-end entre cliente y servidor

    11. Cundo usar CSG o VPN Usar CSG cuando: Gran nmero de servidores a soportar Se quiere esconder direccin de red interna Se quiere securizar DMZ Necesidad de autenticacin de 2 factores (con NFuse Classic) Necesidad de instalacin de cliente non-intrusive ej. Internet cafs Diferencias principales entre soluciones SSL Relay y CSG. SSL Relay: Necesita ser configurado en cada servidor MF que requiere acceso SSL Requiere certificados instalados en cada servidor No realiza una autenticacin / autorizacin independiente Usar una solucin VPN cuando: Se necesite autenticacin 2 factores Se necesite securizar todo el trfico (no slo ICA) Se quiere securizar DMZ El acceso se realiza normalmente desde la misma workstation ej.OK instalar un cliente adicional Se quiere usar IPSEC

    12. Citrix Secure Gateway Beneficios Seguridad en sesiones ICA: Encriptacin basada en estndars protege contra ataque man-in-the-middle (Secure ICA es vulnerable a ste) Oculta servidores MetaFrame desde Internet se accede mediante una conexin SSL segura Utilizacin de Puertos Estandar: 443 en lugar de 1494 Producto sin costes para clientes con Subscription Advantage Sin cliente adicional Fcil para el usuario (total integracin con NFuse) CSG 1.1 funciona con NFuse Classic 1.7, NFuse Elite 1.0, y Enterprise Services for NFuse 1.7 Weaknesses Slo vlido para aplicaciones MetaFrame Requiere servidores adicionales

    13. Lo nuevo en CSG 1.1 Soporte Solaris - Solaris 8 on SPARC NFuse Classic 1.7 soporta CSG de forma nativa Interfaz de usuario de instalacin mejorado Encriptacin TLS v1.0 y SSL v3.0 Criptografa: GOV, COM, o ALL FIPS 140-1 certified crypto modules Rendimiento mejorado: CSG 1.1 soporta ms usuarios que CSG1.0 Logging de CSG mejorado: Windows system log Certificacin Microsoft Windows 2000 Lista de direcciones IP evitadas en el log (ej. network load balancer) Soporte Client Proxy (Cliente ICA v6.3)

    15. Flujo de trfico CSG

    16. Componentes CSG Servicio CSG El programa CSG mismo NFuse Classic o NFuse Elite o ESNFuse Extensiones incluidas en NFuse 1.7. No es necesario instalar separadarmente como en versiones anteriores Secure Ticketing Authority (STA) Genera tickets a los clientes usuarios del portal. Estos forman la base de la autenticacin y autorizacin para conexiones ICA a servidores MetaFrame

    17. CSG for Windows Gateway Service Windows 2000 native Service En DMZ, no requiere IIS Diseo multi-threaded alta eficiencia y rendimiento Utiliza Microsoft S-Channel para funciones SSL/TLS Es necesario un certificado de servidor para autenticacin de servidor SSL Construir arrays de CSG para escabilidad y tolerancia a fallos usando balanceadores de carga externos estndar (network load balancer) Herramienta de configuracin GUI Pequeo beneficio de SSL accelerators The reason why we get a small benefit from typical SSL accelerators is because they only actually accelerate the initial authentication process, and NOT the bulk encryption. Once the SSL session is authenticated the actual bulk encryption is symmetric, and quite CPU efficient. In practice we are finding minimal additional connection latency.The reason why we get a small benefit from typical SSL accelerators is because they only actually accelerate the initial authentication process, and NOT the bulk encryption. Once the SSL session is authenticated the actual bulk encryption is symmetric, and quite CPU efficient. In practice we are finding minimal additional connection latency.

    18. CSG for Solaris daemon Soporte Solaris on SPARC v8 Multithreaded Solaris daemon Incluye herramientas de gestin de certificado OpenSSL embebido para funciones SSL/TLS Es necesario un certificado de servidor para autenticacin de servidor SSL Construir arrays de CSG para escabilidad y tolerancia a fallos usando balanceadores de carga externos estndar (network load balancer)

    19. Secure Ticketing Authority (STA) Genera tickets durante el establecimiento de la conexin STA es una ISAPI (Internet Server Application Program Interface) DLL Debe instalarse en un servidor Windows 2000 con servicio IIS www Extremely lightly loaded service Se pueden definir varias STAs redundantes No debera ser accesible desde fuera de la DMZ Se comunica con CSG y NFuse mediante el protocolo XML sobre HTTP. Puerto configurable Enlaces a CSG y NFuse se pueden securizar con Windows 2000 Server to Server VPN Fcilmente configurable mediante la herramienta GUI de configuracin

    21. CSG Ticketing

    24. CSG paso a paso Proceso de lanzar Wordpad usando CSG La mayor parte del trabajo de inicio de conexin lo realiza NFuse Una vez establecida la conexin, NFuse termina su trabajo, y se puede cerrar sin que afecte a la aplicacin publicada

    25. Usuarios se validan en NFuse Abrir un navegador y apuntar a la pgina de validacin de NFuse Conexin estandard HTTP o HTTPS al servidor web NFuse usando puerto 80 o 443 Teclear nombre de usuario y contrasea, clic botn para enviar credenciales al servidor web El servidor web recibe nombre de usuario y contrasea

    26. NFuse ?XML? MF1 El servidor web NFuse redirige las credenciales al servidor MetaFrame (MF1) corriendo el servicio Citrix XML El servicio XML enva la lista de aplicaciones e iconos XML para el usuario actual a NFuse NFuse formatea la pgina como HTML para el usuario

    27. Usuario hace clic en un icono de aplicacin Cuando el usuario hace clic en el icono de una aplicacin (Wordpad), se enva una peticin HTTP a NFuse Un icono es un hyperlink a launch.asp?NFuse_Application=Wordpad

    28. NFuse pide detalles para Wordpad La peticin de lanzamiento de la aplicacin del usuario genera otra transaccin XML entre NFuse y MetaFrame: qu servidor est menos cargado? Las reglas de Citrix Load Management determina cul es el servidor menos cargado y disponible La direccin del servidor se puede devolver como una direccin IP normal, alternate address, IP:port, DNS name o DNS:port

    29. MetaFrame localiza servidor menos cargado El servicio XML de MF1 pregunta al Data Collector (DC) de la zona cul es el servidor MetaFrame menos cargado que sirve esa aplicacin En este ejemplo, MF2 es el menos cargado MF1 enva las credenciales del usuario al servicio XML de MF2 MF2 genera un ticket NFuse y lo devuelve a MF1

    30. MF1 enva la direccin de MF2 a NFuse El servicio XML primario enva los datos XML a NFuse de nuevo, indicando la direccin del servidor menos cargado (MF2) NFuse tambin recibe el ticket NFuse generado por MF2 para las credenciales del usuario actual El ticket NFuse permanecer en memoria de MF2 hasta que es utilizado por WinLogon o expira (por defecto 200 segundos)

    31. NFuse enva la direccin de MF2 a STA NFuse ya sabe quin es el servidor menos cargado: MF2 Sin CSG, Nfuse colocara la direccin de MF2 en un fichero ICA, que pasara al usuario. Con CSG, NFuse enva la direccin de MF2 a STA y recibe un ticket CSG de vuelta STA genera un ticket para NFuse y almacena la direccin de MF2 en memoria

    32. El usuario recibe el fichero ICA NFuse recoge toda la informacin que tiene y genera un fichero ICA dinmico para esta conexin El contenido del fichero ICA se basa en el fichero TEMPLATE.ICA El fichero launch.ica se devuelve al navegador usando el application/x-ica MIME type, triggering users ICA client El ticket STA aparece en el fichero launch.ICA, en la lnea address, ej: Address=;10;STA01;FE0A7B2CE2E77DDC17C7FD3EE7959E79

    33. El cliente conecta con la pasarela CSG El cliente abre una conexin con la pasarela CSG, que estaba en el fichero ICA, como SSLProxyHost Se produce un handshake SSL estndar: El servidor CSG debe enviar una cadena de certificado vlida al cliente El CA root certificate debe ser instalado y trusted por el cliente El FQDN del servidor como aparece en el fichero ICA debe coincidir con el nombre (subject name) del certificado

    34. Gateway valida el ticket STA El ticket CSG producido por STA se presenta a CSG CSG reenva el ticket de vuelta a la STA para validacin Si la STA an tiene la direccin del servidor MF en memoria que corresponde al ticket, se pasa esa direccin del servidor MF a CSG y STA borra el ticket de memoria CSG recibe la direccin del servidor MF2 y

    35. Cliente ?SSL? CSG ?ICA? MF2 CSG abre una conexin con MF2 usando el puerto estndar ICA, estableciendo una pasarela segura a la aplicacin publicada El ticket NFuse se presenta a MF2 para el logon de MetaFrame Trfico entre CSG y el cliente: encriptado SSL Trfico ICA regular entre CSG y MF2

    36. Resumen de arquitectura

    37. Caractersticas CSG Encriptacin y conectividad Autenticacin Seguridad: SSL vs TLS CSG y Cliente ICA Java

    38. Encriptacin y conectividad Securiza slo trfico ICA Encriptacin SSL v3.0 o TLS v1.0 de 128-bit CSG usa un certificado de servidor Slo una direccin IP de CSG es visible desde internet Facilidad en firewall (usa slo puerto 443)

    39. Autenticacin Autenticacin proporcionada por el servidor web NFuse Classic - antes de usar CSG Single-Sign on Mtodos de autenticacin: Estndar: Dominios Microsoft NT y Active Directory Novell NDS SmartCard Dos factores: Otros mecanismos para proteger servidor web de acceso no autorizado (ej RSA SecurID, SafeWord PremierAccess) El proceso de autenticacin se puede securizar adems mediante un servidor Web NFuse configurado para HTTPS

    40. El riesgo del password Autenticacin de slo un factor Fcil de capturar (hacked, stolen, borrowed, guessed or sniffed) Difcil de recordar y gestionar

    41. Qu es Two Factor o Strong Authentication? Mltiples factores: Algo que sabes Tu PIN Algo que tienes Tu tarjeta / token Ejemplo: cajeros automticos Algo que hace el dispositivo Genera un nuevo password en cada logon Utiliza encriptacin avanzada o certificados digitales

    42. Opciones de integracin de autenticacin de dos factores

    43. User hits an RSA/Secure Computing page and authenticates with their token code User hits NFuse Classic page and authenticates with their username and password User hits an RSA/Secure Computing page and authenticates with their token code User hits NFuse Classic page and authenticates with their username and password

    44. 2a. Single Logon ScreenSafeWord PremierAccess Solution

    45. 2b. Single Logon ScreenRSA with Proyecto Willamette

    46. 3. Custom SolutionCitrix Internal CSG Site

    47. SSL vs TLS SSL es un protocolo abierto, no propietario, estndar que permite el intercambio de informacin en Internet TLS es la ltima versin estandarizada del protocolo SSL. TLS versin 1.0 est soportado a partir de MetaFrame XP Feature Release 2 (No FR1) y clientes v6.30 Hay pocas diferencias entre SSL y TSL, por lo que los certificados de servidor SSL usados en una instalacin MF son vlidos para TLS Los protocolos SSL/TLS permiten que datos confidenciales sean transmitidos en redes pblicas, como Internet, propocionando: Autenticacin: El cliente puede determinar la identidad de un servidor y estar seguro de su autenticidad. Opcionalmente, un servidor puede autenticar la identidad del cliente que quiere establecer una conexin Privacidad: Los datos entre cliente y servidor estn encriptados, de dorma que si un tercero intercepta los mensajes, no puede descifrar el contenido Integridad de datos: El receptor de los datos encriptados sabr si un tercero ha corrompido o modificado datos

    48. SSL/TLS Captura el mensaje a transmitir Fragmenta los datos en bloques Hace compresin de datos (opcionalmente) Aplica hash Encripta Transmite

    49. CSG y cliente Java Solucin Internet Caf Solucin basada en Java applet, no necesita nada pre-instalado en mquina local El cliente se descarga y ejecuta va el browser. La solucin requiere MetaFrame XP Citrix NFuse Classic 1.7 Citrix Secure Gateway Cliente ICA Java, en modo applet (incluido en NFuse Classic 1.7) Admite autenticacin RSA SecureID, SafeWord PremierAccess Los certificados SSL pueden ser de un servidor de certificados MS propio o de una organizacin comercial

    50. Instalacin CSG

    51. Implementacin de CSG Requerimientos de los componentes Instalacin de Certificados Comprobacin Checklist Instalacin de componentes Servidor STA Instalacin NFuse Servidor CSG Configuracin NFuse

    53. Requerimientos de los componentes CSG Ensure that Citrix SSL Relay is not installed on your MetaFrame servers or is disabled. Citrix Secure Gateway cannot be used in an environment containing Citrix SSL Relay. Ensure that Citrix SSL Relay is not installed on your MetaFrame servers or is disabled. Citrix Secure Gateway cannot be used in an environment containing Citrix SSL Relay.

    55. Instalacin de componentes Se recomienda seguir el siguiente orden: 1. Instalacin de Secure Ticketing Authority (STA) 2. Instalacin de CSG Gateway Peticin e instalacin del certificado SSL Deshabilitar o eliminar IIS en servidores Windows Instalar software de la pasarela 3. Configuracin de NFuse para usar CSG NFuse 1.61 o superior soporta CSG de forma nativa NFuse Classic 1.7 puede usar CSG para clientes externos y evitar CSG para clientes internos

    56. Step 1: Instalacin de STA

    57. STA IIS permissions required of /Scripts

    58. STA IIS permissions required of /Scripts

    59. STA IIS permissions required of /Scripts

    60. Instalacin de STA

    61. Step 2: Instalacin de CSG

    62. Instalar NFuse CD Componentes MetaFrame XP - NFuse Classic - wizard

    64. Ejemplo Certificado SSL

    65. Ejemplo Certificado

    66. Ejemplo Certificado

    67. Instalacin de certificados En un despliegue CSG se usan dos tipos de certificados digitales: Server certificate Identifica una mquina concreta, por ej el servidor Secure Gateway. Hay que instalar un server certificate en cada servidor y servidor NFuse Root certificate Identifica la CA que firma el server certificate. El root certificate pertenece a la CA . Necesario en cada dispositivo cliente ICA que se conecte al servidor web Cada web certificate (clave privada) necesita un root certificate (clave pblica)

    68. Server Certificates Server certificates son nicos para un nombre de servidor particular El subject del certificado es el FQDN del servidor Ver el Certification Path para averiguar qu autoridad certificadora (CA) gener este certificado

    69. Root Certificates Root certificates (certificados CA) son entidades self-signed usadas para verificar certificados de servidor Si se confa en una CA, instalar su root certificate. Si el dispositivo cliente tiene SO Windows 32-bit (Windows 95, Windows 98,Windows NT, o Windows 2000), root certificates estn automticamente disponibles para varias CA pblica administracin 0 en workstation . Ej:Verisign, Baltimore, RSA, Thawte

    70. Instalacin de certificados

    71. Cmo obtener Certificados Obtener certificados de: Autoridad certificadora (Certificate Authority - CA) privada CA Pblica Cert de evaluacin de una CA pblica (Baltimore, Verisign,) Gua para crear una autoridad certificadora: http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp Gua para instalar root certificate en cliente: http://www.microsoft.com/TechNet/prodtechnol/windows2000serv/deploy/walkthru/enducert.asp

    72. Instalacin de certificados 1. Crear peticin de certificado desde IIS admin Windows 2000 -wizard Para obtener un certificado SSL de una CA, primero hay que generar un fichero CSR (Certificate Signing Request) para usarlo en la generacin de un web server certificate. Al terminar este proceso, habr que enviarlo a la CA o seguir las instrucciones de la CA para generar un certificado Clave 1024 bits, FQDN name y common name, cert.txt No borrar la peticin pendiente ? el fichero .crt no coincidir y el certificado no se instalar Sera posible - certificate request wizard de IIS en CSG server -despus deshabilitar o desinstalar IIS del servidor CSG para liberar el puerto 443

    73. Instalacin de certificados Crear peticin de certificado desde IIS admin Windows 2000 -wizard

    74. Instalacin de certificados 2. Enviar el CSR a la CA y esperar a recibir el certificado SSL Seguir proceso especificado por la CA pblica o privada que se est usando Ej. Certificado de evaluacin de Baltimore: completar formulario online http://www.baltimore.com/omniroot/SSL/try.asp 3. Salvar fichero de respuesta del certificado enviado por la CA como un certificado X.509 (formato CER)

    75. Instalacin de certificados 4. Instalar SSL Web Server Certificate Desde IIS Admin, seleccionar Directory Security para instalar el certificado

    76. Aadir certificados a MMC La consola Microsoft Management Console (MMC) no est preconfigurada para certificados. Configurarla para poder Exportar/Importar

    77. Back up de certificados Preparado para usar certificados SSL. Antes hacer backup, por si se reinstala el servidor o se mueve el certificado a otro servidor con el mismo nombre FQDN Restaurar certificado SSL: importar certificado backup (.pfx) - MIAB

    78. Instalar MS Certificate Server 1. Instalar MS Certificate Services en un servidor Windows 2000 Use Add/Remove Programs>Windows Components Seleccionar Advanced usar encriptacin 1024 bit

    79. Instalacin de certificados 2. Generar peticin de Certificado en IIS (usar 1024 bit) similar a la peticin para CA pblica Ir a la URL http://[server]/certsrv para acceder al servidor de certificados Web Server from the Certificate Template drop down box

    80. Instalacin de certificados

    81. Verify SSL Connectivity ICA Systray Icon, or the active Citrix window right click and choose properties or mouse over the connection to display the encryption status.

    82. Instalar servicio CSG CD Componentes MetaFrame XP - Citrix Secure Gateway - Secure Gateway Service Wizard licencia configuration utility

    83. Step 3: Configure NFuse Classic Opciones Nfuse NFuse 1.6 + Proyecto Columbia NFuse 1.61 soporta CSG de forma nativa NFuse Classic 1.7 Recomendacin: Utilizar NFuse Classic 1.7 si es posible. Permite distinguir entre usuarios internos que no utilizan CSG (al igual que Columbia).

    84. CSG Architecture(Usuarios internos)

    86. CSG con NFuse 1.6 + Project Columbia Editar config.txt para incluir lo siguiente: CSG_Enable=On CSG_Gateway=csg.company.com:443 CSG_STA=http://10.3.2.1:80/Scripts/CtxSta.dll CSG_InternalNetworks=10.,192.168. En este ejemplo, usuario cuya direccin IP empieza por 10. o 192.168. pasaran de CSG y accederan directamente a servidores MetaFrame Cuando se use Columbia, no aadir entradas CSG a NFuse.conf Ms detalles en el fichero de ayuda de Columbia

    87. CSG con Nfuse 1.61 Es necesario realizar cambios en: %ProgramFiles%\Citrix\Nfuse\Nfuse.conf SessionField.Nfuse_CitrixServer= <IP Metaframe XML Service> SessionField.Nfuse_CitrixServerPort= <Puerto XML Service> SessionField.Nfuse_CSG_Enable= ON SessionField.Nfuse_CSG_STA_URL1= http://STAServer1/Scripts/CtxSta.dll SessionField.Nfuse_CSG_Server= <FQDN del servidor CSG> SessionField.Nfuse_CSG_Server_Port= 443 Funciona con versiones Windows y UNIX de NFuse 1.61 Afecta a todos los usuarios, incluido los internos

    88. CSG con NFuse 1.7Configurar NFuse usando NFuse Admin Utilidad grfica de administracin que edita el fichero nfuse.conf (almacena configuraciones) Pgina de administracin por defecto http://[server]/Citrix/NFuseadmin. Especificar direccin servidor Metaframe, puerto XML Configurar para Citrix Secure Gateway Controlar despliegue de clientes ICA, y cliente Java Configurar firewalls (Server and Client side) Login page de NFuse Pgina por defecto http://server/Citrix/NFuse17 Se puede modificar

    89. NFuse Admin

    90. NFuse Admin CSG Settings MF Server Especificar direccin del servidor(es) Metaframe y puerto XML

    91. NFuse Admin Settings - CSG Check Citrix Secure Gateway Soporta usuarios CSG y no CSG (internos)

    93. CSG con NFuse Classic 1.7 Unix En NFuse Classic 1.7 para UNIX, es necesario modificar NFuse.conf manualmente: AddressTranslation=Mapped ClientAddressMap=10.,Normal,*,CSG SessionField.NFuse_CSG_AddressTranslation=Normal SessionField.NFuse_CSG_Server=csg.company.com SessionField.NFuse_CSG_ServerPort=443 SessionField.NFuse_CSG_STA_URL1= http://10.3.2.1/Scripts/CtxSta.dll

    94. . .

    95. Posibles arquitecturas CSG

    96. Expandiendo o reduciendo CSG La arquitectura de libro de CSG se compone de un servidor para cada componente: NFuse, CSG y STA En despliegues pequeos distintos componentes pueden compartir hardware En despliegues grandes, se recomienda tener componentes redundantes y balanceados

    97. Un servidor para todo Recomendado slo para demostraciones: instalar Windows 2000, IIS, MetaFrame, NFuse, CSG y STA todo en un servidor Cambiar el puerto CSG de 443 a 1443 (o cualquier otro) Utilizar http://localhost/Scripts/CtxSta.dll como la URL STA Usar localhost:80 como servicio XML MetaFrame

    98. Compartir STA con MetaFrame STA supone poca carga y se puede compartir con un servidor MetaFrame o cualquier otro servidor IIS Como antes, cambiar puerto CSG para albergar NFuse y CSG en el mismo servidor, o asignar dos direcciones IP al servidor NFuse/CSG y seguir las instrucciones del documento CTX799332 para deshabilitar socket pooling en IIS

    99. Colocar STA en un Control Server A medida que la granja crece, conviene separar NFuse y CSG en distintas mquinas Aislar un servidor MetaFrame como control server: en vez de servir aplicaciones publicadas, acta de data collector de la zona, servicio XML primario y STA

    100. Textbook installation Para reducir trfico XML en el control server MetaFrame, separar STA en otra mquina no-MetaFrame En un despliegue tpico, slo NFuse y CSG residen en una DMZ (Demilitarized Zone) Firewall exterior: puerto 443 para NFuse y CSG Firewall interior: trfico HTTP por puerto 80 a la STA y MetaFrame control server, y trfico ICA en puerto 1494 desde CSG a todos los servidores MetaFrame

    101. Pasarelas y servidores web redundantes Cualquier mtodo de balanceo de carga basado en sesin puede ser utilizado con los servidores web o gateways: DNS round-robin, MS Network Load Balancing or hardware load balancers El mismo certificado y clave privada estaran instalados en cada servidor CSG (csg.company.com) Despus de instalarlo en el primer servidor, exportar el certificado y clave privada a un fichero .pfx En los otros servidores CSG, importar el fichero .pfx utilizando MMC snap-in

    102. Mltiples servidores de control MetaFrame NFuse Classic 1.7 puede hacer balanceo de carga entre varios servicios XML (round-robin) Si la granja es grande, dividirla en zonas, y usar cada DC como control server para NFuse

    103. Multiple STAs Alta disponibilidad Si se usa ms de una STA, cada una debe tener su identificador nico (STA01, STA02, etc) NFuse Classic 1.7 puede hacer balanceo de carga de STA (round-robin) CSG se dirige a la STA elegida por NFuse. El STA ID est incluido como parte del ticket. CSG debe ser capaz de resolver cada STA ID con su URL correspondiente:Address=;10;STA01;FE0A7B2CE2E77DDC17C7FD3EE7959E79

    104. Securidad en CSG The Citrix Secure Gateway is an application specific proxy, and as such is relatively secure. It is not a firewall and should not be used as such. Citrix highly recommends that you use a firewall to protect Citrix Secure Gateway and other corporate resources from unauthorized access from the Internet, as well as unauthorized access from internal users. The Citrix Secure Gateway is an application specific proxy, and as such is relatively secure. It is not a firewall and should not be used as such. Citrix highly recommends that you use a firewall to protect Citrix Secure Gateway and other corporate resources from unauthorized access from the Internet, as well as unauthorized access from internal users.

    105. Seguridad Security basics: Buen diseo incluyendo seguridad fsica Habilitar Auditing herramientas propias o de terceros Lockdown sistema de ficheros local Windows o Unix Mantener actualizado con hotfixes y security patches HFNETCHK.EXE atwww.microsoft.com/technet HFNetChk herramienta command-line que permite al adminstrador comprobar el estado de los patches en mquinas Windows NT 4.0, Windows 2000, y Windows XP http://www.Microsoft.com/security/ Product is only one aspect of securing a connection. More importantly, is methodology. Citrix Secure Gateway relies on a change in security methodology for part of its security, and some security basics are important to consider as a part of securing the actual CSG product. Product is only one aspect of securing a connection. More importantly, is methodology. Citrix Secure Gateway relies on a change in security methodology for part of its security, and some security basics are important to consider as a part of securing the actual CSG product.

    106. Securizar entorno Secure Gateway Despleguar Citrix Secure Gateway en DMZ Situar CSG en una DMZ entre dos firewalls Securizar fsicamente la DMZ para prevenir acceso a firewalls Configurar firewalls para restringir acceso slo a los puertos especficos Secure Ticket Authority - localizacin Security server Contiene informacin importante de conexin Servicio Isapi.dll puede correr en servidor de ficheros/ Citrix Ideal: en un servidor separado

    107. Securizar entorno Secure Gateway Seguir recomendaciones de seguridad de Microsoft y terceros Eliminar componentes que no se usan Instalar software mnimo Usar polticas para restringir clientes Controlar accesos Sistema de ficheros NTFS Mnimos derechos necesarios Lockdown local file system Windows or Unix Microsoft IIS Lockdown tool (MIAB) Securiza servidor web IIS Disponible en http://download.microsoft.com/download/iis50/Utility/2.1/NT45/EN-US/iislockd.exe

    108. Deshabilitar servicios innecesarios En servidores Windows 2000 por defecto hay unos 31 servicios innecesarios Computer Browser, DHCP, DFS, Fax Service, Internet Connection Sharing, Messenger Deshabilitar en Services MMC Snap-in de Windows 2000 Vlido igualmente para Solaris Armoring Solaris II, July 2002, Lance Spitner www.phoneboy.com

    109. Securizar Windows Securizar Windows 2000 File system: DumpSec Hyena Windows 2000 Resource kit tools Incluyen herramientas para gestionar informacin de permiso de ficheros, de usuario, cuentas, lista de shares DumpSec, by Somarsoft, used to be called DumpACL and is useful for dumping share, and file permissions to the screen, or outputted to a file for use. This screen shows what such output looks like showing both the account, and the permission assigned to that account. Hyena allows for you to, at a glance, see an aggregate list of shares or local user rights to the specific machine you are looking at. It also allows one to see specific user rights and other security information including event logs in one user interface DumpSec, by Somarsoft, used to be called DumpACL and is useful for dumping share, and file permissions to the screen, or outputted to a file for use. This screen shows what such output looks like showing both the account, and the permission assigned to that account. Hyena allows for you to, at a glance, see an aggregate list of shares or local user rights to the specific machine you are looking at. It also allows one to see specific user rights and other security information including event logs in one user interface

    110. Securizar Windows Host based security scanner to check vulnerabilities Symantec Net Recon ISS System Scanner Langaurd, Shadow Tools or other free scanner Escanean hosts y comprueban puntos vulnerables: ej puertos abiertos Information about the Windows file system is very important in knowing what to lock down. Equally important is having a full understanding about the vulnerabilities of each host that will be exposed as a part of your security solution. There are many free, and paid tools to allow you to do this. Some of which are mentioned here, from host-based scanners such as NetRecon or System Scanner to free tools like Languard and Shadow Tools. These tools will let you perform host by host vulnerability scans to check for other things such as open ports, and others. Once these scans are performed, it is important to keep up with security patches and hotfixes as they are released. Microsoft has a website to keep network administrators and other IT Professionals up to date on these patcheswww.microsoft.com/security Information about the Windows file system is very important in knowing what to lock down. Equally important is having a full understanding about the vulnerabilities of each host that will be exposed as a part of your security solution. There are many free, and paid tools to allow you to do this. Some of which are mentioned here, from host-based scanners such as NetRecon or System Scanner to free tools like Languard and Shadow Tools. These tools will let you perform host by host vulnerability scans to check for other things such as open ports, and others. Once these scans are performed, it is important to keep up with security patches and hotfixes as they are released. Microsoft has a website to keep network administrators and other IT Professionals up to date on these patcheswww.microsoft.com/security

    111. Autenticacin Citrix Secure Gateway es una solucin de acceso remoto Utilizar autenticacin segura, industry standard, two-factor authentication Certificados Tolken-based ej. RSA SecureID Secure Computing Seguridad external E Interna!

    112. Poltica Local Poltica de Password History requirement Password age - expiracin Character length Force requirements to be met Cuentas de usuarios Deshabilitar cuentas de usuario no utilizadas Default IIS account, Guest

    113. Anonymous Access After disabling the auto-created anonymous user account for IIS on both the Nfuse Web, and STA servers, create a new anonymous access account. Then give the account rights for the web servers.After disabling the auto-created anonymous user account for IIS on both the Nfuse Web, and STA servers, create a new anonymous access account. Then give the account rights for the web servers.

    114. Auditing Auditar eventos locales MMC Security and Analysis Snap-in Tamao event log aumenta hasta 500MB Backups peridicas del event log Objetos especficos para auditar: Gestin de cuentas Eventos de Logon Cambio poltica

    115. Securizar entorno Secure Gateway Restringir Ciphersuites Ciphersuite define tipo de encriptacin: algoritmo, parmetros (keys size) Establecer una conexin segura implica negociar el ciphersuite utilizado en las comms. ICA client informa a CSG los ciphersuites que soporta y CSG informa al cliente el ciphersuite que se utilizar CSG soporta 2 categoras de ciphersuite: COM (commercial) GOV (government). Opcin ALL incluye ambas HKLM\SYSTEM\CurrentControlSet\Services\CtxSecGwy\Global\CipherStrength=ALL Restringir ciphersuite a COM o GOV

    117. Troubleshooting

    118. Tcnicas de Troubleshooting Funciona NFuse eliminando CSG y STA? Qu conexin falla? Habilitar verbose logging en STA configurando LogLevel=3 in CtxSta.config Habilitar verbose logging en pasarela CSG ejecutando la utilidad de configuracin del servicio Aadir contadores de rendimiento de Gateway y al servidor Windows 2000

    119. Problemas comunes: El certificado CSG no est correctamente instalado IIS en la STA est bloqueado, impidiendo comunicaciones XML/HTTP annimas usar la herramienta de debugging de web server en CTX052061 para el troubleshooting Firewall interno no permite comunicacin HTTP con STA (debe ser HTTP, no HTTPS) Firewall externo times out conexiones - habilitar ICA Keep-Alives para mantener la sesin

    120. Troubleshooting Consejos: Verificar que todas las mquinas que participan en la implementacin de CSG pueden hacer ping por su FQDN. Netstat, para verificar que la CSG gateway est escuchando por el puerto 443 (https). Netstat, para verificar que la STA est escuchando por el puerto 80 (http). Verificar la versin de cliente: ICA 6.30 o superior Encriptacin 128 bit del navegador

    121. Debug.asp output CTX052061 Herramienta de anlisis y debugging de servidor web Citris (debug.asp) Ayuda en troubleshooting de problemas de configuracin relacionados con IIS Inspecciona un servidor web con IIS e informa del estado del servidor NFuse, STA o servidor MF con servicio XML +IIS

    122. Ejemplo fichero log STA D:\InetPub\Scripts\sta20021011-00.log: INFORMATION 2002\10\11:09:51:49 CSG1302 CtxSTA.dll Unloaded INFORMATION 2002\10\11:14:16:26 CSG1301 CtxSTA.dll Loaded INFORMATION 2002\10\11:14:16:26 CSG1305 Request Ticket - Successful AEDE0237301BB971C6FD964156A12CF4 192.168.0.152:1494 INFORMATION 2002\10\11:14:18:56 CSG1305 Request Ticket - Successful F67755CDB77C8D0190BEA0866E80468B 192.168.0.152:1494 INFORMATION 2002\10\11:14:18:59 CSG1304 Request Data - Successful F67755CDB77C8D0190BEA0866E80468B 192.168.0.152:1494 INFORMATION 2002\10\11:14:31:26 CSG1303 Ticket Timed Out AEDE0237301BB971C6FD964156A12CF4 INFORMATION 2002\10\11:15:00:24 CSG1302 CtxSTA.dll Unloaded

    123. Contadores de rendimiento STA

    124. Contadores de PerfMon En la Secure Ticketing Authority : STA Bad Data Request Count STA Bad Save Request Count STA Good Data Request Count STA Good Save Request Count STA Good Ticket Request Count STA Peak Data Request Rate STA Peak Save Request Rate STA Peak Ticket Request Rate STA Save Request Rate STA Ticket Timeout Count

    125. Contadores de rendimiento Gateway

    126. Contadores PerfMon Active Session Count Client Connections Accepted Client Connections Failed Client Connections Timed Out Global Clients to Gateway Bytes Global Clients to Gateway Packets Global Gateway to Client(s) Bytes Global Gateway to MetaFrame server bytes Global MetaFrame server to Gateway Bytes

    127. Dsiponibilidad CSG v1.1 Precio Sin ningn coste - beneficio de la Subscription Advantage. CSG NO se vende a clientes de MetaFrame XP para Windows o MetaFrame para UNIX que no hayan comprado con Subscription Advantage Disponibilidad Clientes de MetaFrame XP (Windows o UNIX), y con contrato de Subscription Advantage vlido y activo pueden descargar CSG desde el Citrix Secure Portal en www.citrix.com/mycitrix - Subscription Advantage benefit fulfillment. CSG v1.1 Windows (English) available on MF FR2 Components CD CSG v1.1 Solaris available from Citrix Secure Portal for Subscription Advantage Customers Licencias Licencias en los servidores MetaFrame, no requiere licencia adicional

    129. Available Resources:White Papers RSA Setup Guide by David Kim Installing the ACE server from a Citrix Admin perspective Contact your local Citrix SE for a copy RSA SecurID Ready Implementation Guide www.rsasecurity.com Securing Citrix with SafeWord PremierAccess www.securecomputing.com

    130. Available Resources:Code Secure Computing Universal Web Agent www.securecomputing.com RSA ACE/Agent 5.0 www.rsasecurity.com Project Willamette www.iscnet.co.uk, http://www.tweakcitrix.com Project Columbia www.citrix.com/cdn, http://www.tweakcitrix.com Free One Year SSL Certificate www.freessl.com

    131. knowledgebase de Citrix CTX808625 : Common certificate and private key problems CTX711855 : Common SSL Error messages and their causes CTX799332 : Running CSG and NFuse/IIS on the same server CTX338681 : Troubleshooting STA connectivity CTX552703 : Using private SSL certificates with the ICA Java client and NFuse Classic 1.7 CTX955678 : Using private CA root certificates with UNIX ICA clients CTX678219 : Configuring NFuse 1.61 to work with CSG)

More Related