Conceptos Prcticos de CSG - PowerPoint PPT Presentation

Loading...

PPT – Conceptos Prcticos de CSG PowerPoint presentation | free to view - id: 284380-MDIyN



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Conceptos Prcticos de CSG

Description:

NFuse y CSG backgrounder. Funcionalidad de Citrix Secure Gateway ... MF2 Servidor menos ocupado en el lanzamiento de la aplicaci n. 1. 2. 4. 6. 7. 5. 3. 25 ... – PowerPoint PPT presentation

Number of Views:313
Avg rating:3.0/5.0
Slides: 132
Provided by: Ter867
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Conceptos Prcticos de CSG


1
Conceptos Prácticos de CSG
  • integración con Nfuse

2
Agenda
  • NFuse y CSG backgrounder
  • Funcionalidad de Citrix Secure Gateway
  • Componentes
  • Arquitectura de Citrix Secure Gateway (CSG)
  • Arquitectura óptima
  • Posibles arquitecturas CSG
  • Autentificación para utilizar CSG
  • Certificados
  • Demostración con RSA
  • Integración CSG con NFuse
  • Instalación y configuración de CSG

3
Qué es Citrix Secure Gateway?
  •  Acceso seguro y simple a aplicaciones servidas
    por Servidores Citrix Metaframe a través de
    Internet desde cualquier dispositivo.

4
Amenazas comunes
  • Brute Force password crack identificar passwords
  • IP spoofing paquetes intrusos externos
  • Man-in-the-middle intercepta paquetes y los
    modifica
  • Denial-of-service ataque a un servidor
    overloaded ? crash

5
NFuse y CSG backgrounder
  • NFuse con extensión a un servidor web
  • Soportado en varias plataformas IIS, Apaches,
    iPlanet, Websphere..
  • Es el Programa Neighborhood webificado
  • Permite la publicación de aplicaciones vía un
    servidor web
  • Cada usuario puede ver su application set
  • CSG es para permitir un acceso seguro
  • Es un VPN para ICA o un gateway SSL/TLS
  • Es bonito….y permite la admin/config del cliente
    ICA de forma centralizada

6
NFuse - Tres productos
  • NFuse Classic
  • Disponible con cualquier versión de MetaFrame
  • NFuse Enterprise
  • Disponible para clientes de MetaFrame con
    Subscription Advantage
  • Single sign-on a múltiples granjas con
    autentificación distintivo
  • NFuse Elite
  • Portal basado en tecnología XML.
  • Comercializado como producto separado

7
NFuse
  • Citrix NFuse Classic
  • Integra y publica aplicaciones interactivas en
    cualquier browser estándar… de forma inmediata
    !
  • Acceso seguro a través de Citrix Secure Gateway

8
Conceptos NFuse
Granja MetaFrame
Servidor Web
Proporciona acceso a cualquier aplicación e
información vía web
1.Petición de página Web.
2. Autentificación de Usuario,
3. Despliegue de Página Web Contiene iconos de
apliaciones que el usuario puede acceder
4. Sesión Estandar ICA
Cliente ICA Y Browser
9
Soluciones de Seguridad
CSG es una solución para ICA simple y segura
10
Cuándo usar Secure ICA o SSL Relay
  • Usar SecureICA cuando...
  • Sea necesario acceso seguro a Win 16 o DOS
  • Se tienen dispositivos/ clientes ICA antiguos que
    no pueden ser actualizados
  • Existe un riesgo considerable de ataque
    man-in-the-middle
  • Intranet / WAN / LAN interna
  • Usar SSL Relay cuando...
  • Pequeño número de servidores MetaFrame a soportar
    (lt5)
  • No hay necesidad de asegurar el acceso al DMZ
  • No hay necesidad de esconder las direcciones IP
    de los servidores o cuando se usa NAT.
  • Se necesita encriptación de datos end-to-end
    entre cliente y servidor

11
Cuándo usar CSG o VPN
  • Usar CSG cuando
  • Gran número de servidores a soportar
  • Se quiere esconder dirección de red interna
  • Se quiere securizar DMZ
  • Necesidad de autenticación de 2 factores (con
    NFuse Classic)
  • Necesidad de instalación de cliente
    non-intrusive ej. Internet cafés
  • Diferencias principales entre soluciones SSL
    Relay y CSG. SSL Relay
  • Necesita ser configurado en cada servidor MF que
    requiere acceso SSL
  • Requiere certificados instalados en cada servidor
  • No realiza una autenticación / autorización
    independiente
  • Usar una solución VPN cuando
  • Se necesite autenticación 2 factores
  • Se necesite securizar todo el tráfico (no sólo
    ICA)
  • Se quiere securizar DMZ
  • El acceso se realiza normalmente desde la misma
    workstation ej.OK instalar un cliente adicional
  • Se quiere usar IPSEC

12
Citrix Secure Gateway
  • Beneficios
  • Seguridad en sesiones ICA
  • Encriptación basada en estándars
  • protege contra ataque man-in-the-middle (Secure
    ICA es vulnerable a éste)
  • Oculta servidores MetaFrame desde Internet se
    accede mediante una conexión SSL segura
  • Utilización de Puertos Estandar 443 en lugar de
    1494
  • Producto sin costes para clientes con
    Subscription Advantage
  • Sin cliente adicional
  • Fácil para el usuario (total integración con
    NFuse)
  • CSG 1.1 funciona con NFuse Classic 1.7, NFuse
    Elite 1.0, y Enterprise Services for NFuse 1.7
  • Weaknesses
  • Sólo válido para aplicaciones MetaFrame
  • Requiere servidores adicionales

13
Lo nuevo en CSG 1.1
  • Soporte Solaris - Solaris 8 on SPARC
  • NFuse Classic 1.7 soporta CSG de forma nativa
  • Interfaz de usuario de instalación mejorado
  • Encriptación TLS v1.0 y SSL v3.0
  • Criptografía GOV, COM, o ALL
  • FIPS 140-1 certified crypto modules
  • Rendimiento mejorado CSG 1.1 soporta más
    usuarios que CSG1.0
  • Logging de CSG mejorado Windows system log
  • Certificación Microsoft Windows 2000
  • Lista de direcciones IP evitadas en el log (ej.
    network load balancer)
  • Soporte Client Proxy (Cliente ICA v6.3)

14
  • Citrix Secure Gateway
  • Encriptación Internet-standard 128-bit SSL/TLS
  • Firewall traversal utilizando el puerto HTTPS

Autentificación
Gestión de Acceso
Conectividad Segura
Firewall
Firewall
Citrix Secure Gateway
Granja de Servidores Citrix MetaFrame XP
SSL / TLS
Bases de Datos, Servicios de Mensajería,
Servidores de Ficheros, Data Warehousing STA de
CSG
Portal Citrix NFuse Classic
Internet
DMZ
Red Interna
15
Flujo de tráfico CSG
DMZ
BackEnd
Internet
DMZ
ICA/SSL
443
ICA Client
CSG Server
ICA/1494
MetaFrame Server Farm
.ICA file
443
HTTP/S
HTTP/S
NFuse
Citrix XML Service
XML-HTTP/80
La conexión inicial siempre se establece con el
servidor WEB. El usuario puede incluso no tener
el cliente Citrix instalado.
16
Componentes CSG
  • Servicio CSG
  • El programa CSG mismo
  • NFuse Classic o NFuse Elite o ESNFuse
  • Extensiones incluidas en NFuse 1.7. No es
    necesario instalar separadarmente como en
    versiones anteriores
  • Secure Ticketing Authority (STA)
  • Genera tickets a los clientes usuarios del
    portal. Estos forman la base de la autenticación
    y autorización para conexiones ICA a servidores
    MetaFrame

17
CSG for Windows Gateway Service
  • Windows 2000 native Service
  • En DMZ, no requiere IIS
  • Diseño multi-threaded alta eficiencia y
    rendimiento
  • Utiliza Microsoft S-Channel para funciones
    SSL/TLS
  • Es necesario un certificado de servidor para
    autenticación de servidor SSL
  • Construir arrays de CSG para escabilidad y
    tolerancia a fallos usando balanceadores de carga
    externos estándar (network load balancer)
  • Herramienta de configuración GUI
  • Pequeño beneficio de SSL accelerators

18
CSG for Solaris daemon
  • Soporte Solaris on SPARC v8
  • Multithreaded Solaris daemon
  • Incluye herramientas de gestión de certificado
  • OpenSSL embebido para funciones SSL/TLS
  • Es necesario un certificado de servidor para
    autenticación de servidor SSL
  • Construir arrays de CSG para escabilidad y
    tolerancia a fallos usando balanceadores de carga
    externos estándar (network load balancer)

19
Secure Ticketing Authority (STA)
  • Genera tickets durante el establecimiento de la
    conexión
  • STA es una ISAPI (Internet Server Application
    Program Interface) DLL
  • Debe instalarse en un servidor Windows 2000 con
    servicio IIS www
  • Extremely lightly loaded service
  • Se pueden definir varias STAs redundantes
  • No debería ser accesible desde fuera de la DMZ
  • Se comunica con CSG y NFuse mediante el protocolo
    XML sobre HTTP. Puerto configurable
  • Enlaces a CSG y NFuse se pueden securizar con
    Windows 2000 Server to Server VPN
  • Fácilmente configurable mediante la herramienta
    GUI de configuración

20
CSG Ticketing
DMZ
Internet
BackEnd
Production MetaFrame Farm
CSG Server
ICA Client
XML Service
Secure Ticketing Authority
Secure Web Server
Web Browser
NFuse
  • Resolución de nombres ICA Nfuse estandar
  • Petición de ticket CSG al lanzar aplicación
  • El ticket CSG se entrega al cliente ICA como
    parte del fichero ICA.
  • El ticket CSG se entrega al servidor CSG
  • El servidor CSG verifica el ticket y abre la
    conexión ICA.

21
CSG Ticketing
22
Arquitectura CSG puntos clave
  • Autorización basada en ticketing
  • Ticketing Nfuse, para credenciales de usuario.
  • Ticketing CSG, para datos del servidor Citrix
    Metaframe
  • Opera en modo Gateway instalado en DMZ
  • Altamente escalable por diseño
  • Un único servidor CSG puede soportar de 500 a
    2000 conexiones concurrentes
  • Altamente fiable soporte a fallos (fail-over)
    para STA, Load Balancer externo para el servidor
    CSG principal.
  • Utiliza XML para la comunicación entre
    componentes
  • Los componentes son fácilmente reemplazables por
    Citrix o terceros.

23
CSG paso a paso
24
CSG paso a paso
2
NFuse
MF1
1
  • Proceso de lanzar Wordpad usando CSG
  • La mayor parte del trabajo de inicio de conexión
    lo realiza NFuse
  • Una vez establecida la conexión, NFuse termina su
    trabajo, y se puede cerrar sin que afecte a la
    aplicación publicada

4
Client
STA
3
6
5
CSG
MF2
7
  • Cada acceso CSG implica siete conexiones TCP
    distintas
  • MF1 Servidor MetaFrame proporcionando servicio
    XML a NFuse
  • MF2 Servidor menos ocupado en el lanzamiento de
    la aplicación

25
Usuarios se validan en NFuse
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7
  • Abrir un navegador y apuntar a la página de
    validación de NFuse
  • Conexión estandard HTTP o HTTPS al servidor web
    NFuse usando puerto 80 o 443
  • Teclear nombre de usuario y contraseña, clic
    botón para enviar credenciales al servidor web
  • El servidor web recibe nombre de usuario y
    contraseña

26
NFuse ?XML? MF1
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7
  • El servidor web NFuse redirige las credenciales
    al servidor MetaFrame (MF1) corriendo el servicio
    Citrix XML
  • El servicio XML envía la lista de aplicaciones e
    iconos XML para el usuario actual a NFuse
  • NFuse formatea la página como HTML para el usuario

27
Usuario hace clic en un icono de aplicación
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7
  • Cuando el usuario hace clic en el icono de una
    aplicación (Wordpad), se envía una petición HTTP
    a NFuse
  • Un icono es un hyperlink a launch.asp?NFuse_Applic
    ationWordpad…

28
NFuse pide detalles para Wordpad
2
NFuse
MF1
1
ltxmlgt Least-busy server hosting Wordpad? lt/xmlgt
4
Client
STA
3
6
5
CSG
MF2
7
  • La petición de lanzamiento de la aplicación del
    usuario genera otra transacción XML entre NFuse y
    MetaFrame qué servidor está menos cargado?
  • Las reglas de Citrix Load Management determina
    cuál es el servidor menos cargado y disponible
  • La dirección del servidor se puede devolver como
    una dirección IP normal, alternate address,
    IPport, DNS name o DNSport

29
MetaFrame localiza servidor menos cargado
2
ltxmlgt NFuse Ticket for user on MF2 lt/xmlgt
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7
  • El servicio XML de MF1 pregunta al Data Collector
    (DC) de la zona cuál es el servidor MetaFrame
    menos cargado que sirve esa aplicación
  • En este ejemplo, MF2 es el menos cargado
  • MF1 envía las credenciales del usuario al
    servicio XML de MF2
  • MF2 genera un ticket NFuse y lo devuelve a MF1

30
MF1 envía la dirección de MF2 a NFuse
2
NFuse
MF1
ltxmlgt MF2 IP address MF2 NFuse ticket lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7
  • El servicio XML primario envía los datos XML a
    NFuse de nuevo, indicando la dirección del
    servidor menos cargado (MF2)
  • NFuse también recibe el ticket NFuse generado por
    MF2 para las credenciales del usuario actual
  • El ticket NFuse permanecerá en memoria de MF2
    hasta que es utilizado por WinLogon o expira (por
    defecto 200 segundos)

31
NFuse envía la dirección de MF2 a STA
2
NFuse
MF1
ltxmlgt Request CSG ticket for MF2s IP
address lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7
  • NFuse ya sabe quién es el servidor menos cargado
    MF2
  • Sin CSG, Nfuse colocaría la dirección de MF2 en
    un fichero ICA, que pasaría al usuario.
  • Con CSG, NFuse envía la dirección de MF2 a STA y
    recibe un ticket CSG de vuelta
  • STA genera un ticket para NFuse y almacena la
    dirección de MF2 en memoria

32
El usuario recibe el fichero ICA
2
NFuse
MF1
Launch.ica
1
4
Client
STA
3
6
5
CSG
MF2
7
  • NFuse recoge toda la información que tiene y
    genera un fichero ICA dinámico para esta conexión
  • El contenido del fichero ICA se basa en el
    fichero TEMPLATE.ICA
  • El fichero launch.ica se devuelve al navegador
    usando el application/x-ica MIME type, triggering
    users ICA client
  • El ticket STA aparece en el fichero launch.ICA,
    en la línea address, ej Address10STA01FE0A7B2
    CE2E77DDC17C7FD3EE7959E79

33
El cliente conecta con la pasarela CSG
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7
  • El cliente abre una conexión con la pasarela CSG,
    que estaba en el fichero ICA, como SSLProxyHost
  • Se produce un handshake SSL estándar
  • El servidor CSG debe enviar una cadena de
    certificado válida al cliente
  • El CA root certificate debe ser instalado y
    trusted por el cliente
  • El FQDN del servidor como aparece en el fichero
    ICA debe coincidir con el nombre (subject name)
    del certificado

34
Gateway valida el ticket STA
2
NFuse
MF1
ltxmlgt Validate CSG ticket, get MF2 address in
return lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7
  • El ticket CSG producido por STA se presenta a CSG
  • CSG reenvía el ticket de vuelta a la STA para
    validación
  • Si la STA aún tiene la dirección del servidor MF
    en memoria que corresponde al ticket, se pasa esa
    dirección del servidor MF a CSG y STA borra el
    ticket de memoria
  • CSG recibe la dirección del servidor MF2 y…

35
Cliente ?SSL? CSG ?ICA? MF2
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7
  • CSG abre una conexión con MF2 usando el puerto
    estándar ICA, estableciendo una pasarela segura a
    la aplicación publicada
  • El ticket NFuse se presenta a MF2 para el logon
    de MetaFrame
  • Tráfico entre CSG y el cliente encriptado SSL
  • Tráfico ICA regular entre CSG y MF2

36
Resumen de arquitectura
Public Network
Private Network
DMZ
HTTPS/SSL
PC
Puertos expuestos al público 443 to NFuse (SSL
encrypted) 443 to CSG (SSL encrypted)
Puertos expuestos a DMZ 80 to STA(s) 1494 to
MetaFrame server(s) (5500 to RSA ACE or 5031 to
SC SafeWord) (443 to XP Control server(s))
37
Características CSG
  • Encriptación y conectividad
  • Autenticación
  • Seguridad SSL vs TLS
  • CSG y Cliente ICA Java

38
Encriptación y conectividad
  • Securiza sólo tráfico ICA
  • Encriptación SSL v3.0 o TLS v1.0 de 128-bit
  • CSG usa un certificado de servidor
  • Sólo una dirección IP de CSG es visible desde
    internet
  • Facilidad en firewall (usa sólo puerto 443)

Citrix Secure Gateway
Firewall
ICA and SSL
Citrix NFuse Technology
Citrix MetaFrame XP
39
Autenticación
  • Autenticación proporcionada por el servidor web
    NFuse Classic - antes de usar CSG Single-Sign
    on
  • Métodos de autenticación
  • Estándar
  • Dominios Microsoft NT y Active Directory
  • Novell NDS
  • SmartCard
  • Dos factores
  • Otros mecanismos para proteger servidor web de
    acceso no autorizado (ej RSA SecurID, SafeWord
    PremierAccess)
  • El proceso de autenticación se puede securizar
    además mediante un servidor Web NFuse configurado
    para HTTPS

Citrix Secure Gateway
Back-end Network Resources
Firewall
ICA y SSL
Citrix MetaFrame XP
STA
Tecnología Citrix NFuse
40
El riesgo del password
  • Autenticación de sólo un factor
  • Fácil de capturar (hacked, stolen, borrowed,
    guessed or sniffed)
  • Difícil de recordar y gestionar

41
Qué es Two Factor o Strong Authentication?
  • Múltiples factores
  • Algo que sabes
  • Tu PIN
  • Algo que tienes
  • Tu tarjeta / token
  • Ejemplo cajeros automáticos
  • Algo que hace el dispositivo
  • Genera un nuevo password en cada logon
  • Utiliza encriptación avanzada o certificados
    digitales

42
Opciones de integración de autenticación de dos
factores
  • Opciones de integración
  • No Integration (Out of the Box)
  • Soluciones Single Logon Screen
  • Secure Computing SafeWord PremierAccess
  • RSA with Project Willamette
  • Custom Solution
  • Componentes de la solución
  • Servidores MetaFrame XP
  • Portal de acceso NFuse Classic
  • Citrix Secure Gateway
  • RSA ACE/SecurID o Secure Computing SafeWord
    PremierAccess

43
1. No Integration Out of the Box Solution
Dos páginas web separadas
44
2a. Single Logon Screen SafeWord PremierAccess
Solution
  • Secure Computing supplied Web agent and code
  • Unifica autenticación de NFuse y token en una
    sola página
  • Screenshot courtesy of Altera Corporation using
    Secure Computings Universal Web Agent

45
2b. Single Logon Screen RSA with Proyecto
Willamette
  • Paquete gratuito integra logons de NFuse y RSA en
    una página
  • Permite seleccionar velocidad de conexión desde
    una drop down choice, incluyendo ficheros
    template.ica para las distintas velocidades
  • Actualizado y soportado por ISC

Token passcode
46
3. Custom Solution Citrix Internal CSG Site
  • Solución CSG interna de Citrix
  • Basado en código del proyecto Willamette
  • Permite seleccionar múltiples granjas (Proyecto
    Columbia)
  • Utiliza herramientas pre-built con código
    customizado

47
SSL vs TLS
  • SSL es un protocolo abierto, no propietario,
    estándar que permite el intercambio de
    información en Internet
  • TLS es la última versión estandarizada del
    protocolo SSL. TLS versión 1.0 está soportado a
    partir de MetaFrame XP Feature Release 2 (No FR1)
    y clientes v6.30
  • Hay pocas diferencias entre SSL y TSL, por lo que
    los certificados de servidor SSL usados en una
    instalación MF son válidos para TLS
  • Los protocolos SSL/TLS permiten que datos
    confidenciales sean transmitidos en redes
    públicas, como Internet, propocionando
  • Autenticación El cliente puede determinar la
    identidad de un servidor y estar seguro de su
    autenticidad. Opcionalmente, un servidor puede
    autenticar la identidad del cliente que quiere
    establecer una conexión
  • Privacidad Los datos entre cliente y servidor
    están encriptados, de dorma que si un tercero
    intercepta los mensajes, no puede descifrar el
    contenido
  • Integridad de datos El receptor de los datos
    encriptados sabrá si un tercero ha corrompido o
    modificado datos

48
SSL/TLS
Sin SSL, la información de nombre de usuario y
contraseña se envía del cliente al servidor web
en texto claro, que permite la posibilidad de que
alguien capture las credenciales del usuario
  • Captura el mensaje a transmitir
  • Fragmenta los datos en bloques
  • Hace compresión de datos (opcionalmente)
  • Aplica hash
  • Encripta
  • Transmite

49
CSG y cliente Java Solución Internet Café
  • Solución basada en Java applet, no necesita nada
    pre-instalado en máquina local
  • El cliente se descarga y ejecuta vía el browser.
  • La solución requiere
  • MetaFrame XP
  • Citrix NFuse Classic 1.7
  • Citrix Secure Gateway
  • Cliente ICA Java, en modo applet (incluido en
    NFuse Classic 1.7)
  • Admite autenticación RSA SecureID, SafeWord
    PremierAccess
  • Los certificados SSL pueden ser de un servidor de
    certificados MS propio o de una organización
    comercial

50
Instalación CSG
51
Implementación de CSG
  • Requerimientos de los componentes
  • Instalación de Certificados
  • Comprobación Checklist
  • Instalación de componentes
  • Servidor STA
  • Instalación NFuse
  • Servidor CSG
  • Configuración NFuse

52
Requerimientos de los componentes CSG
  • Citrix Secure Gateway
  • Servidores Windows 2000 o Solaris (SPARC)
  • Requiere certificado de servidor para
    autenticación de servidor SSL pasarela SSL/TLS
    entre clientes ICA y granja MetaFrame.
  • No hay auto reconexión de clientes, por razones
    de seguridad
  • CSG para Windows
  • Servidores Microsoft Windows 2000 con SP2.
  • Recomendaciones mínimas de requerimientos para
    Windows 2000 Server 256 meg of RAM, 150 meg
    disponible en espacio de disco, etc.
  • No requiere IIS

53
Requerimientos de los componentes CSG
  • Servidor Web
  • NFuse 1.61 o más avanzados
  • IIS5, Apache or Tomcat
  • Secure Ticketing Authority
  • Servidor Windows 2000 estándar con IIS5
  • Recomendaciones mínimas de requerimientos para
    Windows 2000 Server
  • IIS 5 running ISAPI.dll para ticketing Cuidado
    con locking down este server
  • Parte Cliente
  • Cliente ICA versión 6.3 o más avanzado
    (funcionalidad completa seguridad TLS). El
    cliente 6.20.986 no soporta TLS
  • Clientes ICA Win32, Java, Macintosh y Unix, WinCE
  • Browser que soporta 128 bit de encriptación (high
    encryption)
  • Servidores MetaFrame
  • MetaFrame XP 1.0 y superior para Windows y
    MetaFrame v1.1 para Unix

54
Checklist CSG
  • CSG incluye una checklist de instalación (.PDF)
  • Se recomienda cumplimentarla antes de proceder a
    la instalación.
  • Ayuda a no olvidar todo lo necesario FQDN de los
    servidores, certificados instalados, version de
    cliente,…

Disponible en el knowledgecenter de
Citrix http//support.citrix.com/kb/entry.jspa?ent
ryID147categoryID186
55
Instalación de componentes
  • Se recomienda seguir el siguiente orden
  • 1. Instalación de Secure Ticketing Authority
    (STA)
  • 2. Instalación de CSG Gateway
  • Petición e instalación del certificado SSL
  • Deshabilitar o eliminar IIS en servidores Windows
  • Instalar software de la pasarela
  • 3. Configuración de NFuse para usar CSG
  • NFuse 1.61 o superior soporta CSG de forma nativa
  • NFuse Classic 1.7 puede usar CSG para clientes
    externos y evitar CSG para clientes internos

56
Step 1 Instalación de STA
  • Comprobar IIS instalado
  • Asistente de instalación
  • Localización destination folder \Inetpub\Scripts
  • STA ID Identificador del servidor
  • Ticket Timeout
  • Maximun Tickets Máximo número de tickets
  • Reinicio de los servicios Web
  • Configuración de IIS para /Scripts/CtxSta.dll
  • Scripts and executables
  • Anonymous authentication
  • No SSL

57
STA IIS permissions required of /Scripts
58
STA IIS permissions required of /Scripts
59
STA IIS permissions required of /Scripts
60
Instalación de STA
  • CD Componentes MetaFrame XP - Citrix Secure
    Gateway - Secure Ticket Authority

61
Step 2 Instalación de CSG
  • Puerto 443 no debe estar utilizado
  • Petición e Instalación Certificado para servidor
    CSG
  • Asistente de instalación
  • Certificado de servidor
  • Servidor/es STA
  • Tarjeta y puerto (443) a utilizar
  • Connection Timeout, Maximo número de conexiones
  • Selección de Protocolo SSL o TLS

62
Instalar NFuse
  • CD Componentes MetaFrame XP - NFuse Classic -
    wizard
  • Comprobar instalación NFuse
  • http//nfuse_webserver/citrix/nfuse17 --
    introducir username, password y dominio, y
    verificar acceso a aplicaciones publicadas

63
Instalación de certificados
  • SSL 3.0 o TLS 1.0
  • Certificados digitales
  • Usados para identificar de forma segura entidades
    en la red
  • Definidos por el protocolo ISO X.509
  • Un certificado contiene
  • Una clave pública clave pública del subject
    usada para encriptar
  • Información sobre el certificado
  • Issuer organización que asigna certificados (an
    X.500 distinguished name)
  • Subject parte identificada por el certificado
    (an X.500 distinguished name)
  • Period of validity Fecha de inicio y expiración
    de validez del certificado
  • Serial number (assigned by the issuer)
  • Descripción de los algoritmos de firma y clave
    pública usados (public key is nearly always RSA)
  • Firma digital de la entidad certificadora (CA)
    para garantizar autenticidad

64
Ejemplo Certificado SSL
Asignado a un FQDN de internet, no necesariamente
el nombre del servidor
Fechas válidas
La clave privada correspondiente no es visible
Excepto cuando se usa SSL Relay
65
Ejemplo Certificado
Tamaño clave pública lt 1024
Enhanced key usage fields must include Server
Authentication (1.3.6.1.5.5.7.3.1)
66
Ejemplo Certificado
Chains back to a trusted Certificate Authority
No errors reported
67
Instalación de certificados
  • En un despliegue CSG se usan dos tipos de
    certificados digitales
  • Server certificate
  • Identifica una máquina concreta, por ej el
    servidor Secure Gateway.
  • Hay que instalar un server certificate en cada
    servidor y servidor NFuse
  • Root certificate
  • Identifica la CA que firma el server certificate.
    El root certificate pertenece a la CA .
  • Necesario en cada dispositivo cliente ICA que se
    conecte al servidor web
  • Cada web certificate (clave privada) necesita un
    root certificate (clave pública)

68
Server Certificates
  • Server certificates son únicos para un nombre de
    servidor particular
  • El subject del certificado es el FQDN del
    servidor
  • Ver el Certification Path para averiguar qué
    autoridad certificadora (CA) generó este
    certificado

69
Root Certificates
  • Root certificates (certificados CA) son entidades
    self-signed usadas para verificar certificados de
    servidor
  • Si se confía en una CA, instalar su root
    certificate.
  • Si el dispositivo cliente tiene SO Windows 32-bit
    (Windows 95, Windows 98,Windows NT, o Windows
    2000), root certificates están automáticamente
    disponibles para varias CA pública
    administración 0 en workstation
  • . EjVerisign, Baltimore, RSA, Thawte

70
Instalación de certificados
HTTPS
443
XML/HTTP
Secure Ticket Authority
SSL
443
ICA
  • CA Root Certificate (pre-instalado para CAs
    comerciales)
  • Server Certificate SSL y la correspondiente
    clave privada

71
Cómo obtener Certificados
  • Obtener certificados de
  • Autoridad certificadora (Certificate Authority -
    CA) privada
  • CA Pública
  • Cert de evaluación de una CA pública (Baltimore,
    Verisign,…)
  • Guía para crear una autoridad certificadora
    http//www.microsoft.com/windows2000/techinfo/plan
    ning/security/casetupsteps.asp
  • Guía para instalar root certificate en cliente
    http//www.microsoft.com/TechNet/prodtechnol/windo
    ws2000serv/deploy/walkthru/enducert.asp

72
Instalación de certificados
  • 1. Crear petición de certificado desde IIS admin
    Windows 2000 -wizard
  • Para obtener un certificado SSL de una CA,
    primero hay que generar un fichero CSR
    (Certificate Signing Request) para usarlo en la
    generación de un web server certificate. Al
    terminar este proceso, habrá que enviarlo a la CA
    o seguir las instrucciones de la CA para generar
    un certificado
  • Clave 1024 bits, FQDN name y common name,
    cert.txt
  • No borrar la petición pendiente ? el fichero .crt
    no coincidirá y el certificado no se instalará
  • Sería posible - certificate request wizard de IIS
    en CSG server -después deshabilitar o desinstalar
    IIS del servidor CSG para liberar el puerto 443

73
Instalación de certificados
  • Crear petición de certificado desde IIS admin
    Windows 2000 -wizard

74
Instalación de certificados
  • 2. Enviar el CSR a la CA y esperar a recibir el
    certificado SSL
  • Seguir proceso especificado por la CA pública o
    privada que se está usando
  • Ej. Certificado de evaluación de Baltimore
    completar formulario online http//www.baltimore.c
    om/omniroot/SSL/try.asp
  • 3. Salvar fichero de respuesta del certificado
    enviado por la CA como un certificado X.509
    (formato CER)

75
Instalación de certificados
  • 4. Instalar SSL Web Server Certificate
  • Desde IIS Admin, seleccionar Directory Security
    para instalar el certificado

76
Añadir certificados a MMC
  • La consola Microsoft Management Console (MMC) no
    está preconfigurada para certificados.
  • Configurarla para poder Exportar/Importar
  • CA propia -Utilizar MMC para certificados
    (pendientes, asignados, borrados…)

77
Back up de certificados
  • Preparado para usar certificados SSL. Antes hacer
    backup, por si se reinstala el servidor o se
    mueve el certificado a otro servidor con el mismo
    nombre FQDN
  • Restaurar certificado SSL importar certificado
    backup (.pfx) - MIAB
  • Recomendación hacer varias copias y
    almacenarlas en distintas localizaciones

78
Instalar MS Certificate Server
  • 1. Instalar MS Certificate Services en un
    servidor Windows 2000
  • Use Add/Remove ProgramsgtWindows Components
  • Seleccionar Advanced usar encriptación 1024
    bit

79
Instalación de certificados
  • 2. Generar petición de Certificado en IIS (usar
    1024 bit) similar a la petición para CA pública
  • Ir a la URL http//server/certsrv para acceder
    al servidor de certificados
  • Web Server from the Certificate Template drop
    down box

80
Instalación de certificados
  • Asignar un certificado existente

Servidor configurado para comunicaciones http
(SSL)
81
Verify SSL Connectivity
  • ICA Systray Icon, or the active Citrix window
    right click and choose properties or mouse over
    the connection to display the encryption status.

82
Instalar servicio CSG
  • CD Componentes MetaFrame XP - Citrix Secure
    Gateway - Secure Gateway Service
  • Wizard licencia configuration utility

83
Step 3 Configure NFuse Classic
  • Opciones Nfuse
  • NFuse 1.6 Proyecto Columbia
  • NFuse 1.61 soporta CSG de forma nativa
  • NFuse Classic 1.7
  • Recomendación
  • Utilizar NFuse Classic 1.7 si es posible. Permite
    distinguir entre usuarios internos que no
    utilizan CSG (al igual que Columbia).

84
CSG Architecture (Usuarios internos)
Secure Gateway Server
DNS Server
443
DNS Server
85
(No Transcript)
86
CSG con NFuse 1.6 Project Columbia
  • Editar config.txt para incluir lo siguiente
  • CSG_EnableOn
  • CSG_Gatewaycsg.company.com443
  • CSG_STAhttp//10.3.2.180/Scripts/CtxSta.dll
  • CSG_InternalNetworks10.,192.168.
  • En este ejemplo, usuario cuya dirección IP
    empieza por 10. o 192.168. pasarían de CSG y
    accederían directamente a servidores MetaFrame
  • Cuando se use Columbia, no añadir entradas CSG a
    NFuse.conf
  • Más detalles en el fichero de ayuda de Columbia

87
CSG con Nfuse 1.61
  • Es necesario realizar cambios en
  • ProgramFiles\Citrix\Nfuse\Nfuse.conf
  • SessionField.Nfuse_CitrixServer ltIP Metaframe
    XML Servicegt
  • SessionField.Nfuse_CitrixServerPort ltPuerto XML
    Servicegt
  • SessionField.Nfuse_CSG_Enable ON
  • SessionField.Nfuse_CSG_STA_URL1
    http//STAServer1/Scripts/CtxSta.d
    ll
  • SessionField.Nfuse_CSG_Server ltFQDN del servidor
    CSGgt
  • SessionField.Nfuse_CSG_Server_Port 443
  • Funciona con versiones Windows y UNIX de NFuse
    1.61
  • Afecta a todos los usuarios, incluido los internos

88
CSG con NFuse 1.7 Configurar NFuse usando NFuse
Admin
  • Utilidad gráfica de administración que edita el
    fichero nfuse.conf (almacena configuraciones)
  • Página de administración por defecto
    http//server/Citrix/NFuseadmin.
  • Especificar dirección servidor Metaframe, puerto
    XML
  • Configurar para Citrix Secure Gateway
  • Controlar despliegue de clientes ICA, y cliente
    Java
  • Configurar firewalls (Server and Client side)
  • Login page de NFuse
  • Página por defecto http//server/Citrix/NFuse17
  • Se puede modificar

89
NFuse Admin
90
NFuse Admin CSG Settings MF Server
  • Especificar dirección del servidor(es) Metaframe
    y puerto XML

91
NFuse Admin Settings - CSG
  • Check Citrix Secure Gateway
  • Soporta usuarios CSG y no CSG (internos)

92
Opciones de Server-side Firewall
  • Soporte para conexiones CSG y no-CSG

Seleccionar sólo si existe un firewall NAT entre
CSG y servidores MetaFrame
Seleccionar para habilitar round-robin STA Load
Balancing
93
CSG con NFuse Classic 1.7 Unix
  • En NFuse Classic 1.7 para UNIX, es necesario
    modificar NFuse.conf manualmente
  • AddressTranslationMapped
  • ClientAddressMap10.,Normal,,CSG
  • SessionField.NFuse_CSG_AddressTranslationNormal
  • SessionField.NFuse_CSG_Servercsg.company.com
  • SessionField.NFuse_CSG_ServerPort443
  • SessionField.NFuse_CSG_STA_URL1
    http//10.3.2.1/Scripts/CtxSta.dll

94
Recomendaciones - consideraciones
  • En pilotos, CSG y Nfuse pueden estar en la misma
    máquina.
  • En producción no se recomienda que sean la misma
    por
  • IIS (NFuse) y CSG tratan de utilizar de forma
    exclusiva el puerto TCP 443
  • Si se cambia el número de puerto en vez de 443 en
    alguno de los componentes ? cambiarlo en el
    Firewall
  • Pasos para configurar NFuse y CSG en la misma
    máquina CTX799332
  • Securizar servidor CSG y Nfuse a nivel de
    permisos y políticas.

95
Posibles arquitecturas CSG
96
Expandiendo o reduciendo CSG
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7
  • La arquitectura de libro de CSG se compone de
    un servidor para cada componente NFuse, CSG y
    STA
  • En despliegues pequeños distintos componentes
    pueden compartir hardware
  • En despliegues grandes, se recomienda tener
    componentes redundantes y balanceados

97
Un servidor para todo
MetaFrame NFuse CSG STA
Client
  • Recomendado sólo para demostraciones instalar
    Windows 2000, IIS, MetaFrame, NFuse, CSG y STA
    todo en un servidor
  • Cambiar el puerto CSG de 443 a 1443 (o cualquier
    otro)
  • Utilizar http//localhost/Scripts/CtxSta.dll como
    la URL STA
  • Usar localhost80 como servicio XML MetaFrame

98
Compartir STA con MetaFrame
NFuse CSG
MetaFrame STA
Client
  • STA supone poca carga y se puede compartir con un
    servidor MetaFrame o cualquier otro servidor IIS
  • Como antes, cambiar puerto CSG para albergar
    NFuse y CSG en el mismo servidor, o asignar dos
    direcciones IP al servidor NFuse/CSG y seguir
    las instrucciones del documento CTX799332 para
    deshabilitar socket pooling en IIS

99
Colocar STA en un Control Server
NFuse
MetaFrame STA
Client
CSG
MetaFrame
  • A medida que la granja crece, conviene separar
    NFuse y CSG en distintas máquinas
  • Aislar un servidor MetaFrame como control
    server en vez de servir aplicaciones
    publicadas, actúa de data collector de la zona,
    servicio XML primario y STA

100
Textbook installation
NFuse
MetaFrame
Client
STA
CSG
MetaFrame
  • Para reducir tráfico XML en el control server
    MetaFrame, separar STA en otra máquina
    no-MetaFrame
  • En un despliegue típico, sólo NFuse y CSG residen
    en una DMZ (Demilitarized Zone)
  • Firewall exterior puerto 443 para NFuse y CSG
  • Firewall interior tráfico HTTP por puerto 80 a
    la STA y MetaFrame control server, y tráfico ICA
    en puerto 1494 desde CSG a todos los servidores
    MetaFrame

101
Pasarelas y servidores web redundantes
MetaFrame
NFuse
Client
STA
CSG
MetaFrame
  • Cualquier método de balanceo de carga basado en
    sesión puede ser utilizado con los servidores web
    o gateways DNS round-robin, MS Network Load
    Balancing or hardware load balancers
  • El mismo certificado y clave privada estarían
    instalados en cada servidor CSG (csg.company.com)
  • Después de instalarlo en el primer servidor,
    exportar el certificado y clave privada a un
    fichero .pfx
  • En los otros servidores CSG, importar el fichero
    .pfx utilizando MMC snap-in

102
Múltiples servidores de control MetaFrame
NFuse
MetaFrame
Client
STA
CSG
MetaFrame
  • NFuse Classic 1.7 puede hacer balanceo de carga
    entre varios servicios XML (round-robin)
  • Si la granja es grande, dividirla en zonas, y
    usar cada DC como control server para NFuse

103
Multiple STAs Alta disponibilidad
NFuse
MetaFrame
STA01
Client
STA02
CSG
MetaFrame
  • Si se usa más de una STA, cada una debe tener su
    identificador único (STA01, STA02, etc)
  • NFuse Classic 1.7 puede hacer balanceo de carga
    de STA (round-robin)
  • CSG se dirige a la STA elegida por NFuse. El STA
    ID está incluido como parte del ticket. CSG debe
    ser capaz de resolver cada STA ID con su URL
    correspondiente Address10STA01FE0A7B2CE2E77DD
    C17C7FD3EE7959E79

104
Securidad en CSG
105
Seguridad
  • Security basics
  • Buen diseño incluyendo seguridad física
  • Habilitar Auditing herramientas propias o de
    terceros
  • Lockdown sistema de ficheros local Windows o
    Unix
  • Mantener actualizado con hotfixes y security
    patches
  • HFNETCHK.EXE atwww.microsoft.com/technet
  • HFNetChk herramienta command-line que permite al
    adminstrador comprobar el estado de los patches
    en máquinas Windows NT 4.0, Windows 2000, y
    Windows XP
  • http//www.Microsoft.com/security/

106
Securizar entorno Secure Gateway
  • Despleguar Citrix Secure Gateway en DMZ
  • Situar CSG en una DMZ entre dos firewalls
  • Securizar físicamente la DMZ para prevenir acceso
    a firewalls
  • Configurar firewalls para restringir acceso sólo
    a los puertos específicos
  • Secure Ticket Authority - localización
  • Security server
  • Contiene información importante de conexión
  • Servicio Isapi.dll puede correr en servidor de
    ficheros/ Citrix
  • Ideal en un servidor separado

107
Securizar entorno Secure Gateway
  • Seguir recomendaciones de seguridad de Microsoft
    y terceros
  • Eliminar componentes que no se usan
  • Instalar software mínimo
  • Usar políticas para restringir clientes
  • Controlar accesos
  • Sistema de ficheros
  • NTFS
  • Mínimos derechos necesarios
  • Lockdown local file system Windows or Unix
  • Microsoft IIS Lockdown tool (MIAB)
  • Securiza servidor web IIS
  • Disponible en http//download.microsoft.com/downlo
    ad/iis50/Utility/2.1/NT45/EN-US/iislockd.exe

108
Deshabilitar servicios innecesarios
  • En servidores Windows 2000 por defecto hay unos
    31 servicios innecesarios
  • Computer Browser, DHCP, DFS, Fax Service,
    Internet Connection Sharing, Messenger…
  • Deshabilitar en Services MMC Snap-in de Windows
    2000
  • Válido igualmente para Solaris
  • Armoring Solaris II, July 2002, Lance Spitner
  • www.phoneboy.com

109
Securizar Windows
  • Securizar Windows 2000 File system
  • DumpSec
  • Hyena
  • Windows 2000 Resource kit tools
  • Incluyen herramientas para gestionar información
    de permiso de ficheros, de usuario, cuentas,
    lista de shares

110
Securizar Windows
  • Host based security scanner to check
    vulnerabilities
  • Symantec Net Recon
  • ISS System Scanner
  • Langaurd, Shadow Tools or other free scanner
  • Escanean hosts y comprueban puntos vulnerables
    ej puertos abiertos

111
Autenticación
  • Citrix Secure Gateway es una solución de acceso
    remoto
  • Utilizar autenticación segura, industry standard,
    two-factor authentication
  • Certificados
  • Tolken-based ej. RSA SecureID
  • Secure Computing
  • Seguridad external E Interna!

112
Política Local
  • Política de Password
  • History requirement
  • Password age - expiración
  • Character length
  • Force requirements to be met
  • Cuentas de usuarios
  • Deshabilitar cuentas de usuario no utilizadas
  • Default IIS account, Guest

113
Anonymous Access
  • After disabling the auto-created anonymous user
    account for IIS on both the Nfuse Web, and STA
    servers, create a new anonymous access account

114
Auditing
  • Auditar eventos locales
  • MMC Security and Analysis Snap-in
  • Tamaño event log aumenta hasta 500MB
  • Backups periódicas del event log
  • Objetos específicos para auditar
  • Gestión de cuentas
  • Eventos de Logon
  • Cambio política

115
Securizar entorno Secure Gateway
  • Restringir Ciphersuites
  • Ciphersuite define tipo de encriptación
    algoritmo, parámetros (keys size)…
  • Establecer una conexión segura implica negociar
    el ciphersuite utilizado en las comms. ICA client
    informa a CSG los ciphersuites que soporta y CSG
    informa al cliente el ciphersuite que se
    utilizará
  • CSG soporta 2 categorías de ciphersuite
  • COM (commercial)
  • GOV (government).
  • Opción ALL incluye ambas
  • HKLM\SYSTEM\CurrentControlSet\Services\CtxSecGwy\G
    lobal\CipherStrengthALL
  • Restringir ciphersuite a COM o GOV

116
Modo Relay
  • CSG se puede usar en modo Normal o Relay
  • Normal Mode
  • Modo recomendado. CSG hace de pasarela en
    Internet. Strong security autenticación y
    autorización NFuse - STA
  • Relay Mode
  • No hay ticketing de STA. La autenticación la
    realiza el servidor MF
  • No se recomienda para usar con CSG. De esta forma
    las direcciones IP de los servidores son visibles
    al cliente ICA. CSG es sólo un túnel encriptado a
    través del firewall
  • Instalación
  • msiexec /I csg_gwy.msi RELAYMODE1
  • Modificación APPSRV.INI en clientes
  • WFClient
  • Fuerza al cliente ICA a utilizar SSL
  • SSLEnableOn
  • Conexión al CSG (FQDN)
  • SSLProxyHostcsgwy.company.com443

117
Troubleshooting
118
Técnicas de Troubleshooting
  • Funciona NFuse eliminando CSG y STA?
  • Qué conexión falla?
  • Habilitar verbose logging en STA configurando
    LogLevel3 in CtxSta.config
  • Habilitar verbose logging en pasarela CSG
    ejecutando la utilidad de configuración del
    servicio
  • Añadir contadores de rendimiento de Gateway y al
    servidor Windows 2000

119
Problemas comunes
  • El certificado CSG no está correctamente
    instalado
  • IIS en la STA está bloqueado, impidiendo
    comunicaciones XML/HTTP anónimas usar la
    herramienta de debugging de web server en
    CTX052061 para el troubleshooting
  • Firewall interno no permite comunicación HTTP con
    STA (debe ser HTTP, no HTTPS)
  • Firewall externo times out conexiones - habilitar
    ICA Keep-Alives para mantener la sesión

120
Troubleshooting
  • Consejos
  • Verificar que todas las máquinas que participan
    en la implementación de CSG pueden hacer ping por
    su FQDN.
  • Netstat, para verificar que la CSG gateway está
    escuchando por el puerto 443 (https).
  • Netstat, para verificar que la STA está
    escuchando por el puerto 80 (http).
  • Verificar la versión de cliente ICA 6.30 o
    superior
  • Encriptación 128 bit del navegador

121
Debug.asp output
  • CTX052061 Herramienta de análisis y debugging
    de servidor web Citris (debug.asp)
  • Ayuda en troubleshooting de problemas de
    configuración relacionados con IIS
  • Inspecciona un servidor web con IIS e informa del
    estado del servidor NFuse, STA o servidor MF con
    servicio XML IIS

122
Ejemplo fichero log STA
  • D\InetPub\Scripts\sta20021011-00.log
  • INFORMATION 2002\10\11095149 CSG1302
    CtxSTA.dll Unloaded
  • INFORMATION 2002\10\11141626 CSG1301
    CtxSTA.dll Loaded
  • INFORMATION 2002\10\11141626 CSG1305 Request
    Ticket - Successful AEDE0237301BB971C6FD964156A12C
    F4 192.168.0.1521494
  • INFORMATION 2002\10\11141856 CSG1305 Request
    Ticket - Successful F67755CDB77C8D0190BEA0866E8046
    8B 192.168.0.1521494
  • INFORMATION 2002\10\11141859 CSG1304 Request
    Data - Successful F67755CDB77C8D0190BEA0866E80468B
    192.168.0.1521494
  • INFORMATION 2002\10\11143126 CSG1303 Ticket
    Timed Out AEDE0237301BB971C6FD964156A12CF4
  • INFORMATION 2002\10\11150024 CSG1302
    CtxSTA.dll Unloaded

123
Contadores de rendimiento STA
  • Se puede monitorizar el rendimiento de Secure
    Gateway y STA usando la consola de Rendimiento de
    los servidores Windows 2000

124
Contadores de PerfMon
  • En la Secure Ticketing Authority
  • STA Bad Data Request Count
  • STA Bad Save Request Count
  • STA Good Data Request Count
  • STA Good Save Request Count
  • STA Good Ticket Request Count
  • STA Peak Data Request Rate
  • STA Peak Save Request Rate
  • STA Peak Ticket Request Rate
  • STA Save Request Rate
  • STA Ticket Timeout Count

125
Contadores de rendimiento Gateway
126
Contadores PerfMon
En el servidor Secure Gateway
  • Active Session Count
  • Client Connections Accepted
  • Client Connections Failed
  • Client Connections Timed Out
  • Global Clients to Gateway Bytes
  • Global Clients to Gateway Packets
  • Global Gateway to Client(s) Bytes
  • Global Gateway to MetaFrame server bytes
  • Global MetaFrame server to Gateway Bytes

Global MetaFrame server to Gateway
Packets MetaFrame Connections Failed MetaFrame
Connections Successful Peak Active Clients Peak
Client Connection Attempts Peak STA Data
Requests Peak STA Save Tickets STA Data Requests
Failed STA Data Requests Successful STA Save
Tickets Failed STA Save Tickets Successful
127
Dsiponibilidad CSG v1.1
  • Precio
  • Sin ningún coste - beneficio de la Subscription
    Advantage.
  • CSG NO se vende a clientes de MetaFrame XP para
    Windows o MetaFrame para UNIX que no hayan
    comprado con Subscription Advantage
  • Disponibilidad
  • Clientes de MetaFrame XP (Windows o UNIX), y con
    contrato de Subscription Advantage válido y
    activo pueden descargar CSG desde el Citrix
    Secure Portal en www.citrix.com/mycitrix -
    Subscription Advantage benefit fulfillment.
  • CSG v1.1 Windows (English) available on MF FR2
    Components CD
  • CSG v1.1 Solaris available from Citrix Secure
    Portal for Subscription Advantage Customers
  • Licencias
  • Licencias en los servidores MetaFrame, no
    requiere licencia adicional

128
Para más información …
  • Contactar con un miembro de Citrix Solutions
    Network
  • www.citrix.com/products/securegateway
  • SSL TLS Essentials Securing the Web by
    Stephen A. Thomas
  • Applied Cryptography by Bruce Schneier
  • Hacking Exposed, Second Edition
  • Solaris Security, Sun Microsystems
  • www.tweakcitrix.com
  • www.nsa.gov
  • www.itwhitepapers.com
  • www.citrix.com
  • www.securityfocus.com

129
Available Resources White Papers
  • RSA Setup Guide by David Kim
  • Installing the ACE server from a Citrix Admin
    perspective
  • Contact your local Citrix SE for a copy
  • RSA SecurID Ready Implementation Guide
  • www.rsasecurity.com
  • Securing Citrix with SafeWord PremierAccess
  • www.securecomputing.com

130
Available Resources Code
  • Secure Computing Universal Web Agent
  • www.securecomputing.com
  • RSA ACE/Agent 5.0
  • www.rsasecurity.com
  • Project Willamette
  • www.iscnet.co.uk, http//www.tweakcitrix.com
  • Project Columbia
  • www.citrix.com/cdn, http//www.tweakcitrix.com
  • Free One Year SSL Certificate
  • www.freessl.com

131
knowledgebase de Citrix
  • CTX808625 Common certificate and private key
    problems
  • CTX711855 Common SSL Error messages and their
    causes
  • CTX799332 Running CSG and NFuse/IIS on the same
    server
  • CTX338681 Troubleshooting STA connectivity
  • CTX552703 Using private SSL certificates with
    the ICA Java client and NFuse Classic 1.7
  • CTX955678 Using private CA root certificates
    with UNIX ICA clients
  • CTX678219 Configuring NFuse 1.61 to work with
    CSG)

132
(No Transcript)
About PowerShow.com