Conceptos Prcticos de CSG

About This Presentation

Title:

Conceptos Prcticos de CSG

Description:

NFuse y CSG backgrounder. Funcionalidad de Citrix Secure Gateway ... MF2 Servidor menos ocupado en el lanzamiento de la aplicaci n. 1. 2. 4. 6. 7. 5. 3. 25 ... – PowerPoint PPT presentation

Number of Views:330

Avg rating:3.0/5.0

Slides: 132

Provided by: Ter867

Category:

more less

Transcript and Presenter's Notes

Title: Conceptos Prcticos de CSG

1
Conceptos Prácticos de CSG

integración con Nfuse

2
Agenda

NFuse y CSG backgrounder
Funcionalidad de Citrix Secure Gateway
Componentes
Arquitectura de Citrix Secure Gateway (CSG)
Arquitectura óptima
Posibles arquitecturas CSG
Autentificación para utilizar CSG
Certificados
Demostración con RSA
Integración CSG con NFuse
Instalación y configuración de CSG

3
Qué es Citrix Secure Gateway?

Acceso seguro y simple a aplicaciones servidas
por Servidores Citrix Metaframe a través de
Internet desde cualquier dispositivo.

4
Amenazas comunes

Brute Force password crack identificar passwords
IP spoofing paquetes intrusos externos
Man-in-the-middle intercepta paquetes y los
modifica
Denial-of-service ataque a un servidor
overloaded ? crash

5
NFuse y CSG backgrounder

NFuse con extensión a un servidor web
Soportado en varias plataformas IIS, Apaches,
iPlanet, Websphere..
Es el Programa Neighborhood webificado
Permite la publicación de aplicaciones vía un
servidor web
Cada usuario puede ver su application set
CSG es para permitir un acceso seguro
Es un VPN para ICA o un gateway SSL/TLS
Es bonito.y permite la admin/config del cliente
ICA de forma centralizada

6
NFuse - Tres productos

NFuse Classic
Disponible con cualquier versión de MetaFrame
NFuse Enterprise
Disponible para clientes de MetaFrame con
Subscription Advantage
Single sign-on a múltiples granjas con
autentificación distintivo
NFuse Elite
Portal basado en tecnología XML.
Comercializado como producto separado

7
NFuse

Citrix NFuse Classic
Integra y publica aplicaciones interactivas en
cualquier browser estándar de forma inmediata
!
Acceso seguro a través de Citrix Secure Gateway

8
Conceptos NFuse
Granja MetaFrame
Servidor Web
Proporciona acceso a cualquier aplicación e
información vía web
1.Petición de página Web.
2. Autentificación de Usuario,
3. Despliegue de Página Web Contiene iconos de
apliaciones que el usuario puede acceder
4. Sesión Estandar ICA
Cliente ICA Y Browser
9
Soluciones de Seguridad
CSG es una solución para ICA simple y segura
10
Cuándo usar Secure ICA o SSL Relay

Usar SecureICA cuando...
Sea necesario acceso seguro a Win 16 o DOS
Se tienen dispositivos/ clientes ICA antiguos que
no pueden ser actualizados
Existe un riesgo considerable de ataque
man-in-the-middle
Intranet / WAN / LAN interna
Usar SSL Relay cuando...
Pequeño número de servidores MetaFrame a soportar
(lt5)
No hay necesidad de asegurar el acceso al DMZ
No hay necesidad de esconder las direcciones IP
de los servidores o cuando se usa NAT.
Se necesita encriptación de datos end-to-end
entre cliente y servidor

11
Cuándo usar CSG o VPN

Usar CSG cuando
Gran número de servidores a soportar
Se quiere esconder dirección de red interna
Se quiere securizar DMZ
Necesidad de autenticación de 2 factores (con
NFuse Classic)
Necesidad de instalación de cliente
non-intrusive ej. Internet cafés
Diferencias principales entre soluciones SSL
Relay y CSG. SSL Relay
Necesita ser configurado en cada servidor MF que
requiere acceso SSL
Requiere certificados instalados en cada servidor
No realiza una autenticación / autorización
independiente
Usar una solución VPN cuando
Se necesite autenticación 2 factores
Se necesite securizar todo el tráfico (no sólo
ICA)
Se quiere securizar DMZ
El acceso se realiza normalmente desde la misma
workstation ej.OK instalar un cliente adicional
Se quiere usar IPSEC

12
Citrix Secure Gateway

Beneficios
Seguridad en sesiones ICA
Encriptación basada en estándars
protege contra ataque man-in-the-middle (Secure
ICA es vulnerable a éste)
Oculta servidores MetaFrame desde Internet se
accede mediante una conexión SSL segura
Utilización de Puertos Estandar 443 en lugar de
1494
Producto sin costes para clientes con
Subscription Advantage
Sin cliente adicional
Fácil para el usuario (total integración con
NFuse)
CSG 1.1 funciona con NFuse Classic 1.7, NFuse
Elite 1.0, y Enterprise Services for NFuse 1.7
Weaknesses
Sólo válido para aplicaciones MetaFrame
Requiere servidores adicionales

13
Lo nuevo en CSG 1.1

Soporte Solaris - Solaris 8 on SPARC
NFuse Classic 1.7 soporta CSG de forma nativa
Interfaz de usuario de instalación mejorado
Encriptación TLS v1.0 y SSL v3.0
Criptografía GOV, COM, o ALL
FIPS 140-1 certified crypto modules
Rendimiento mejorado CSG 1.1 soporta más
usuarios que CSG1.0
Logging de CSG mejorado Windows system log
Certificación Microsoft Windows 2000
Lista de direcciones IP evitadas en el log (ej.
network load balancer)
Soporte Client Proxy (Cliente ICA v6.3)

Citrix Secure Gateway
Encriptación Internet-standard 128-bit SSL/TLS
Firewall traversal utilizando el puerto HTTPS

Autentificación
Gestión de Acceso
Conectividad Segura
Firewall
Firewall
Citrix Secure Gateway
Granja de Servidores Citrix MetaFrame XP
SSL / TLS
Bases de Datos, Servicios de Mensajería,
Servidores de Ficheros, Data Warehousing STA de
CSG
Portal Citrix NFuse Classic
Internet
DMZ
Red Interna
15
Flujo de tráfico CSG
DMZ
BackEnd
Internet
DMZ
ICA/SSL
443
ICA Client
CSG Server
ICA/1494
MetaFrame Server Farm
.ICA file
443
HTTP/S
HTTP/S
NFuse
Citrix XML Service
XML-HTTP/80
La conexión inicial siempre se establece con el
servidor WEB. El usuario puede incluso no tener
el cliente Citrix instalado.
16
Componentes CSG

Servicio CSG
El programa CSG mismo
NFuse Classic o NFuse Elite o ESNFuse
Extensiones incluidas en NFuse 1.7. No es
necesario instalar separadarmente como en
versiones anteriores
Secure Ticketing Authority (STA)
Genera tickets a los clientes usuarios del
portal. Estos forman la base de la autenticación
y autorización para conexiones ICA a servidores
MetaFrame

17
CSG for Windows Gateway Service

Windows 2000 native Service
En DMZ, no requiere IIS
Diseño multi-threaded alta eficiencia y
rendimiento
Utiliza Microsoft S-Channel para funciones
SSL/TLS
Es necesario un certificado de servidor para
autenticación de servidor SSL
Construir arrays de CSG para escabilidad y
tolerancia a fallos usando balanceadores de carga
externos estándar (network load balancer)
Herramienta de configuración GUI
Pequeño beneficio de SSL accelerators

18
CSG for Solaris daemon

Soporte Solaris on SPARC v8
Multithreaded Solaris daemon
Incluye herramientas de gestión de certificado
OpenSSL embebido para funciones SSL/TLS
Es necesario un certificado de servidor para
autenticación de servidor SSL
Construir arrays de CSG para escabilidad y
tolerancia a fallos usando balanceadores de carga
externos estándar (network load balancer)

19
Secure Ticketing Authority (STA)

Genera tickets durante el establecimiento de la
conexión
STA es una ISAPI (Internet Server Application
Program Interface) DLL
Debe instalarse en un servidor Windows 2000 con
servicio IIS www
Extremely lightly loaded service
Se pueden definir varias STAs redundantes
No debería ser accesible desde fuera de la DMZ
Se comunica con CSG y NFuse mediante el protocolo
XML sobre HTTP. Puerto configurable
Enlaces a CSG y NFuse se pueden securizar con
Windows 2000 Server to Server VPN
Fácilmente configurable mediante la herramienta
GUI de configuración

20
CSG Ticketing
DMZ
Internet
BackEnd
Production MetaFrame Farm
CSG Server
ICA Client
XML Service
Secure Ticketing Authority
Secure Web Server
Web Browser
NFuse

Resolución de nombres ICA Nfuse estandar

Petición de ticket CSG al lanzar aplicación

El ticket CSG se entrega al cliente ICA como
parte del fichero ICA.

El ticket CSG se entrega al servidor CSG

El servidor CSG verifica el ticket y abre la
conexión ICA.

21
CSG Ticketing
22
Arquitectura CSG puntos clave

Autorización basada en ticketing
Ticketing Nfuse, para credenciales de usuario.
Ticketing CSG, para datos del servidor Citrix
Metaframe
Opera en modo Gateway instalado en DMZ
Altamente escalable por diseño
Un único servidor CSG puede soportar de 500 a
2000 conexiones concurrentes
Altamente fiable soporte a fallos (fail-over)
para STA, Load Balancer externo para el servidor
CSG principal.
Utiliza XML para la comunicación entre
componentes
Los componentes son fácilmente reemplazables por
Citrix o terceros.

23
CSG paso a paso
24
CSG paso a paso
2
NFuse
MF1
1

Proceso de lanzar Wordpad usando CSG
La mayor parte del trabajo de inicio de conexión
lo realiza NFuse
Una vez establecida la conexión, NFuse termina su
trabajo, y se puede cerrar sin que afecte a la
aplicación publicada

4
Client
STA
3
6
5
CSG
MF2
7

Cada acceso CSG implica siete conexiones TCP
distintas
MF1 Servidor MetaFrame proporcionando servicio
XML a NFuse
MF2 Servidor menos ocupado en el lanzamiento de
la aplicación

25
Usuarios se validan en NFuse
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

Abrir un navegador y apuntar a la página de
validación de NFuse
Conexión estandard HTTP o HTTPS al servidor web
NFuse usando puerto 80 o 443
Teclear nombre de usuario y contraseña, clic
botón para enviar credenciales al servidor web
El servidor web recibe nombre de usuario y
contraseña

26
NFuse ?XML? MF1
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

El servidor web NFuse redirige las credenciales
al servidor MetaFrame (MF1) corriendo el servicio
Citrix XML
El servicio XML envía la lista de aplicaciones e
iconos XML para el usuario actual a NFuse
NFuse formatea la página como HTML para el usuario

27
Usuario hace clic en un icono de aplicación
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

Cuando el usuario hace clic en el icono de una
aplicación (Wordpad), se envía una petición HTTP
a NFuse
Un icono es un hyperlink a launch.asp?NFuse_Applic
ationWordpad

28
NFuse pide detalles para Wordpad
2
NFuse
MF1
1
ltxmlgt Least-busy server hosting Wordpad? lt/xmlgt
4
Client
STA
3
6
5
CSG
MF2
7

La petición de lanzamiento de la aplicación del
usuario genera otra transacción XML entre NFuse y
MetaFrame qué servidor está menos cargado?
Las reglas de Citrix Load Management determina
cuál es el servidor menos cargado y disponible
La dirección del servidor se puede devolver como
una dirección IP normal, alternate address,
IPport, DNS name o DNSport

29
MetaFrame localiza servidor menos cargado
2
ltxmlgt NFuse Ticket for user on MF2 lt/xmlgt
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

El servicio XML de MF1 pregunta al Data Collector
(DC) de la zona cuál es el servidor MetaFrame
menos cargado que sirve esa aplicación
En este ejemplo, MF2 es el menos cargado
MF1 envía las credenciales del usuario al
servicio XML de MF2
MF2 genera un ticket NFuse y lo devuelve a MF1

30
MF1 envía la dirección de MF2 a NFuse
2
NFuse
MF1
ltxmlgt MF2 IP address MF2 NFuse ticket lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7

El servicio XML primario envía los datos XML a
NFuse de nuevo, indicando la dirección del
servidor menos cargado (MF2)
NFuse también recibe el ticket NFuse generado por
MF2 para las credenciales del usuario actual
El ticket NFuse permanecerá en memoria de MF2
hasta que es utilizado por WinLogon o expira (por
defecto 200 segundos)

31
NFuse envía la dirección de MF2 a STA
2
NFuse
MF1
ltxmlgt Request CSG ticket for MF2s IP
address lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7

NFuse ya sabe quién es el servidor menos cargado
MF2
Sin CSG, Nfuse colocaría la dirección de MF2 en
un fichero ICA, que pasaría al usuario.
Con CSG, NFuse envía la dirección de MF2 a STA y
recibe un ticket CSG de vuelta
STA genera un ticket para NFuse y almacena la
dirección de MF2 en memoria

32
El usuario recibe el fichero ICA
2
NFuse
MF1
Launch.ica
1
4
Client
STA
3
6
5
CSG
MF2
7

NFuse recoge toda la información que tiene y
genera un fichero ICA dinámico para esta conexión
El contenido del fichero ICA se basa en el
fichero TEMPLATE.ICA
El fichero launch.ica se devuelve al navegador
usando el application/x-ica MIME type, triggering
users ICA client
El ticket STA aparece en el fichero launch.ICA,
en la línea address, ej Address10STA01FE0A7B2
CE2E77DDC17C7FD3EE7959E79

33
El cliente conecta con la pasarela CSG
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

El cliente abre una conexión con la pasarela CSG,
que estaba en el fichero ICA, como SSLProxyHost
Se produce un handshake SSL estándar
El servidor CSG debe enviar una cadena de
certificado válida al cliente
El CA root certificate debe ser instalado y
trusted por el cliente
El FQDN del servidor como aparece en el fichero
ICA debe coincidir con el nombre (subject name)
del certificado

34
Gateway valida el ticket STA
2
NFuse
MF1
ltxmlgt Validate CSG ticket, get MF2 address in
return lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7

El ticket CSG producido por STA se presenta a CSG
CSG reenvía el ticket de vuelta a la STA para
validación
Si la STA aún tiene la dirección del servidor MF
en memoria que corresponde al ticket, se pasa esa
dirección del servidor MF a CSG y STA borra el
ticket de memoria
CSG recibe la dirección del servidor MF2 y

35
Cliente ?SSL? CSG ?ICA? MF2
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

CSG abre una conexión con MF2 usando el puerto
estándar ICA, estableciendo una pasarela segura a
la aplicación publicada
El ticket NFuse se presenta a MF2 para el logon
de MetaFrame
Tráfico entre CSG y el cliente encriptado SSL
Tráfico ICA regular entre CSG y MF2

36
Resumen de arquitectura
Public Network
Private Network
DMZ
HTTPS/SSL
PC
Puertos expuestos al público 443 to NFuse (SSL
encrypted) 443 to CSG (SSL encrypted)
Puertos expuestos a DMZ 80 to STA(s) 1494 to
MetaFrame server(s) (5500 to RSA ACE or 5031 to
SC SafeWord) (443 to XP Control server(s))
37
Características CSG

Encriptación y conectividad
Autenticación
Seguridad SSL vs TLS
CSG y Cliente ICA Java

38
Encriptación y conectividad

Securiza sólo tráfico ICA
Encriptación SSL v3.0 o TLS v1.0 de 128-bit
CSG usa un certificado de servidor
Sólo una dirección IP de CSG es visible desde
internet
Facilidad en firewall (usa sólo puerto 443)

Citrix Secure Gateway
Firewall
ICA and SSL
Citrix NFuse Technology
Citrix MetaFrame XP
39
Autenticación

Autenticación proporcionada por el servidor web
NFuse Classic - antes de usar CSG Single-Sign
on
Métodos de autenticación
Estándar
Dominios Microsoft NT y Active Directory
Novell NDS
SmartCard
Dos factores
Otros mecanismos para proteger servidor web de
acceso no autorizado (ej RSA SecurID, SafeWord
PremierAccess)
El proceso de autenticación se puede securizar
además mediante un servidor Web NFuse configurado
para HTTPS

Citrix Secure Gateway
Back-end Network Resources
Firewall
ICA y SSL
Citrix MetaFrame XP
STA
Tecnología Citrix NFuse
40
El riesgo del password

Autenticación de sólo un factor
Fácil de capturar (hacked, stolen, borrowed,
guessed or sniffed)
Difícil de recordar y gestionar

41
Qué es Two Factor o Strong Authentication?

Múltiples factores
Algo que sabes
Tu PIN
Algo que tienes
Tu tarjeta / token
Ejemplo cajeros automáticos
Algo que hace el dispositivo
Genera un nuevo password en cada logon
Utiliza encriptación avanzada o certificados
digitales

42
Opciones de integración de autenticación de dos
factores

Opciones de integración
No Integration (Out of the Box)
Soluciones Single Logon Screen
Secure Computing SafeWord PremierAccess
RSA with Project Willamette
Custom Solution
Componentes de la solución
Servidores MetaFrame XP
Portal de acceso NFuse Classic
Citrix Secure Gateway
RSA ACE/SecurID o Secure Computing SafeWord
PremierAccess

43
1. No IntegrationOut of the Box Solution
Dos páginas web separadas
44
2a. Single Logon ScreenSafeWord PremierAccess
Solution

Secure Computing supplied Web agent and code
Unifica autenticación de NFuse y token en una
sola página
Screenshot courtesy of Altera Corporation using
Secure Computings Universal Web Agent

45
2b. Single Logon ScreenRSA with Proyecto
Willamette

Paquete gratuito integra logons de NFuse y RSA en
una página
Permite seleccionar velocidad de conexión desde
una drop down choice, incluyendo ficheros
template.ica para las distintas velocidades
Actualizado y soportado por ISC

Token passcode
46
3. Custom SolutionCitrix Internal CSG Site

Solución CSG interna de Citrix
Basado en código del proyecto Willamette
Permite seleccionar múltiples granjas (Proyecto
Columbia)
Utiliza herramientas pre-built con código
customizado

47
SSL vs TLS

SSL es un protocolo abierto, no propietario,
estándar que permite el intercambio de
información en Internet
TLS es la última versión estandarizada del
protocolo SSL. TLS versión 1.0 está soportado a
partir de MetaFrame XP Feature Release 2 (No FR1)
y clientes v6.30
Hay pocas diferencias entre SSL y TSL, por lo que
los certificados de servidor SSL usados en una
instalación MF son válidos para TLS
Los protocolos SSL/TLS permiten que datos
confidenciales sean transmitidos en redes
públicas, como Internet, propocionando
Autenticación El cliente puede determinar la
identidad de un servidor y estar seguro de su
autenticidad. Opcionalmente, un servidor puede
autenticar la identidad del cliente que quiere
establecer una conexión
Privacidad Los datos entre cliente y servidor
están encriptados, de dorma que si un tercero
intercepta los mensajes, no puede descifrar el
contenido
Integridad de datos El receptor de los datos
encriptados sabrá si un tercero ha corrompido o
modificado datos

48
SSL/TLS
Sin SSL, la información de nombre de usuario y
contraseña se envía del cliente al servidor web
en texto claro, que permite la posibilidad de que
alguien capture las credenciales del usuario

Captura el mensaje a transmitir
Fragmenta los datos en bloques
Hace compresión de datos (opcionalmente)
Aplica hash
Encripta
Transmite

49
CSG y cliente Java Solución Internet Café

Solución basada en Java applet, no necesita nada
pre-instalado en máquina local
El cliente se descarga y ejecuta vía el browser.
La solución requiere
MetaFrame XP
Citrix NFuse Classic 1.7
Citrix Secure Gateway
Cliente ICA Java, en modo applet (incluido en
NFuse Classic 1.7)
Admite autenticación RSA SecureID, SafeWord
PremierAccess
Los certificados SSL pueden ser de un servidor de
certificados MS propio o de una organización
comercial

50
Instalación CSG
51
Implementación de CSG

Requerimientos de los componentes
Instalación de Certificados
Comprobación Checklist
Instalación de componentes
Servidor STA
Instalación NFuse
Servidor CSG
Configuración NFuse

52
Requerimientos de los componentes CSG

Citrix Secure Gateway
Servidores Windows 2000 o Solaris (SPARC)
Requiere certificado de servidor para
autenticación de servidor SSL pasarela SSL/TLS
entre clientes ICA y granja MetaFrame.
No hay auto reconexión de clientes, por razones
de seguridad
CSG para Windows
Servidores Microsoft Windows 2000 con SP2.
Recomendaciones mínimas de requerimientos para
Windows 2000 Server 256 meg of RAM, 150 meg
disponible en espacio de disco, etc.
No requiere IIS

53
Requerimientos de los componentes CSG

Servidor Web
NFuse 1.61 o más avanzados
IIS5, Apache or Tomcat
Secure Ticketing Authority
Servidor Windows 2000 estándar con IIS5
Recomendaciones mínimas de requerimientos para
Windows 2000 Server
IIS 5 running ISAPI.dll para ticketing Cuidado
con locking down este server
Parte Cliente
Cliente ICA versión 6.3 o más avanzado
(funcionalidad completa seguridad TLS). El
cliente 6.20.986 no soporta TLS
Clientes ICA Win32, Java, Macintosh y Unix, WinCE
Browser que soporta 128 bit de encriptación (high
encryption)
Servidores MetaFrame
MetaFrame XP 1.0 y superior para Windows y
MetaFrame v1.1 para Unix

54
Checklist CSG

CSG incluye una checklist de instalación (.PDF)
Se recomienda cumplimentarla antes de proceder a
la instalación.
Ayuda a no olvidar todo lo necesario FQDN de los
servidores, certificados instalados, version de
cliente,

Disponible en el knowledgecenter de
Citrix http//support.citrix.com/kb/entry.jspa?ent
ryID147categoryID186
55
Instalación de componentes

Se recomienda seguir el siguiente orden
1. Instalación de Secure Ticketing Authority
(STA)
2. Instalación de CSG Gateway
Petición e instalación del certificado SSL
Deshabilitar o eliminar IIS en servidores Windows
Instalar software de la pasarela
3. Configuración de NFuse para usar CSG
NFuse 1.61 o superior soporta CSG de forma nativa
NFuse Classic 1.7 puede usar CSG para clientes
externos y evitar CSG para clientes internos

56
Step 1 Instalación de STA

Comprobar IIS instalado
Asistente de instalación
Localización destination folder \Inetpub\Scripts
STA ID Identificador del servidor
Ticket Timeout
Maximun Tickets Máximo número de tickets
Reinicio de los servicios Web
Configuración de IIS para /Scripts/CtxSta.dll
Scripts and executables
Anonymous authentication
No SSL

57
STA IIS permissions required of /Scripts
58
STA IIS permissions required of /Scripts
59
STA IIS permissions required of /Scripts
60
Instalación de STA

CD Componentes MetaFrame XP - Citrix Secure
Gateway - Secure Ticket Authority

61
Step 2 Instalación de CSG

Puerto 443 no debe estar utilizado
Petición e Instalación Certificado para servidor
CSG
Asistente de instalación
Certificado de servidor
Servidor/es STA
Tarjeta y puerto (443) a utilizar
Connection Timeout, Maximo número de conexiones
Selección de Protocolo SSL o TLS

62
Instalar NFuse

CD Componentes MetaFrame XP - NFuse Classic -
wizard

Comprobar instalación NFuse
http//nfuse_webserver/citrix/nfuse17 --
introducir username, password y dominio, y
verificar acceso a aplicaciones publicadas

63
Instalación de certificados

SSL 3.0 o TLS 1.0
Certificados digitales
Usados para identificar de forma segura entidades
en la red
Definidos por el protocolo ISO X.509
Un certificado contiene
Una clave pública clave pública del subject
usada para encriptar
Información sobre el certificado
Issuer organización que asigna certificados (an
X.500 distinguished name)
Subject parte identificada por el certificado
(an X.500 distinguished name)
Period of validity Fecha de inicio y expiración
de validez del certificado
Serial number (assigned by the issuer)
Descripción de los algoritmos de firma y clave
pública usados (public key is nearly always RSA)
Firma digital de la entidad certificadora (CA)
para garantizar autenticidad

64
Ejemplo Certificado SSL
Asignado a un FQDN de internet, no necesariamente
el nombre del servidor
Fechas válidas
La clave privada correspondiente no es visible
Excepto cuando se usa SSL Relay
65
Ejemplo Certificado
Tamaño clave pública lt 1024
Enhanced key usage fields must include Server
Authentication (1.3.6.1.5.5.7.3.1)
66
Ejemplo Certificado
Chains back to a trusted Certificate Authority
No errors reported
67
Instalación de certificados

En un despliegue CSG se usan dos tipos de
certificados digitales
Server certificate
Identifica una máquina concreta, por ej el
servidor Secure Gateway.
Hay que instalar un server certificate en cada
servidor y servidor NFuse
Root certificate
Identifica la CA que firma el server certificate.
El root certificate pertenece a la CA .
Necesario en cada dispositivo cliente ICA que se
conecte al servidor web
Cada web certificate (clave privada) necesita un
root certificate (clave pública)

68
Server Certificates

Server certificates son únicos para un nombre de
servidor particular
El subject del certificado es el FQDN del
servidor
Ver el Certification Path para averiguar qué
autoridad certificadora (CA) generó este
certificado

69
Root Certificates

Root certificates (certificados CA) son entidades
self-signed usadas para verificar certificados de
servidor
Si se confía en una CA, instalar su root
certificate.
Si el dispositivo cliente tiene SO Windows 32-bit
(Windows 95, Windows 98,Windows NT, o Windows
2000), root certificates están automáticamente
disponibles para varias CA pública
administración 0 en workstation
. EjVerisign, Baltimore, RSA, Thawte

70
Instalación de certificados
HTTPS
443
XML/HTTP
Secure Ticket Authority
SSL
443
ICA

CA Root Certificate (pre-instalado para CAs
comerciales)

Server Certificate SSL y la correspondiente
clave privada

71
Cómo obtener Certificados

Obtener certificados de
Autoridad certificadora (Certificate Authority -
CA) privada
CA Pública
Cert de evaluación de una CA pública (Baltimore,
Verisign,)
Guía para crear una autoridad certificadora
http//www.microsoft.com/windows2000/techinfo/plan
ning/security/casetupsteps.asp
Guía para instalar root certificate en cliente
http//www.microsoft.com/TechNet/prodtechnol/windo
ws2000serv/deploy/walkthru/enducert.asp

72
Instalación de certificados

1. Crear petición de certificado desde IIS admin
Windows 2000 -wizard
Para obtener un certificado SSL de una CA,
primero hay que generar un fichero CSR
(Certificate Signing Request) para usarlo en la
generación de un web server certificate. Al
terminar este proceso, habrá que enviarlo a la CA
o seguir las instrucciones de la CA para generar
un certificado
Clave 1024 bits, FQDN name y common name,
cert.txt
No borrar la petición pendiente ? el fichero .crt
no coincidirá y el certificado no se instalará
Sería posible - certificate request wizard de IIS
en CSG server -después deshabilitar o desinstalar
IIS del servidor CSG para liberar el puerto 443

73
Instalación de certificados

Crear petición de certificado desde IIS admin
Windows 2000 -wizard

74
Instalación de certificados

2. Enviar el CSR a la CA y esperar a recibir el
certificado SSL
Seguir proceso especificado por la CA pública o
privada que se está usando
Ej. Certificado de evaluación de Baltimore
completar formulario online http//www.baltimore.c
om/omniroot/SSL/try.asp
3. Salvar fichero de respuesta del certificado
enviado por la CA como un certificado X.509
(formato CER)

75
Instalación de certificados

4. Instalar SSL Web Server Certificate
Desde IIS Admin, seleccionar Directory Security
para instalar el certificado

76
Añadir certificados a MMC

La consola Microsoft Management Console (MMC) no
está preconfigurada para certificados.
Configurarla para poder Exportar/Importar

CA propia -Utilizar MMC para certificados
(pendientes, asignados, borrados)

77
Back up de certificados

Preparado para usar certificados SSL. Antes hacer
backup, por si se reinstala el servidor o se
mueve el certificado a otro servidor con el mismo
nombre FQDN
Restaurar certificado SSL importar certificado
backup (.pfx) - MIAB

Recomendación hacer varias copias y
almacenarlas en distintas localizaciones

78
Instalar MS Certificate Server

1. Instalar MS Certificate Services en un
servidor Windows 2000
Use Add/Remove ProgramsgtWindows Components
Seleccionar Advanced usar encriptación 1024
bit

79
Instalación de certificados

2. Generar petición de Certificado en IIS (usar
1024 bit) similar a la petición para CA pública
Ir a la URL http//server/certsrv para acceder
al servidor de certificados
Web Server from the Certificate Template drop
down box

80
Instalación de certificados

Asignar un certificado existente

Servidor configurado para comunicaciones http
(SSL)
81
Verify SSL Connectivity

ICA Systray Icon, or the active Citrix window
right click and choose properties or mouse over
the connection to display the encryption status.

82
Instalar servicio CSG

CD Componentes MetaFrame XP - Citrix Secure
Gateway - Secure Gateway Service
Wizard licencia configuration utility

83
Step 3 Configure NFuse Classic

Opciones Nfuse
NFuse 1.6 Proyecto Columbia
NFuse 1.61 soporta CSG de forma nativa
NFuse Classic 1.7
Recomendación
Utilizar NFuse Classic 1.7 si es posible. Permite
distinguir entre usuarios internos que no
utilizan CSG (al igual que Columbia).

84
CSG Architecture(Usuarios internos)
Secure Gateway Server
DNS Server
443
DNS Server
85
(No Transcript)
86
CSG con NFuse 1.6 Project Columbia

Editar config.txt para incluir lo siguiente
CSG_EnableOn
CSG_Gatewaycsg.company.com443
CSG_STAhttp//10.3.2.180/Scripts/CtxSta.dll
CSG_InternalNetworks10.,192.168.
En este ejemplo, usuario cuya dirección IP
empieza por 10. o 192.168. pasarían de CSG y
accederían directamente a servidores MetaFrame
Cuando se use Columbia, no añadir entradas CSG a
NFuse.conf
Más detalles en el fichero de ayuda de Columbia

87
CSG con Nfuse 1.61

Es necesario realizar cambios en
ProgramFiles\Citrix\Nfuse\Nfuse.conf
SessionField.Nfuse_CitrixServer ltIP Metaframe
XML Servicegt
SessionField.Nfuse_CitrixServerPort ltPuerto XML
Servicegt
SessionField.Nfuse_CSG_Enable ON
SessionField.Nfuse_CSG_STA_URL1
http//STAServer1/Scripts/CtxSta.d
ll
SessionField.Nfuse_CSG_Server ltFQDN del servidor
CSGgt
SessionField.Nfuse_CSG_Server_Port 443
Funciona con versiones Windows y UNIX de NFuse
1.61
Afecta a todos los usuarios, incluido los internos

88
CSG con NFuse 1.7Configurar NFuse usando NFuse
Admin

Utilidad gráfica de administración que edita el
fichero nfuse.conf (almacena configuraciones)
Página de administración por defecto
http//server/Citrix/NFuseadmin.
Especificar dirección servidor Metaframe, puerto
XML
Configurar para Citrix Secure Gateway
Controlar despliegue de clientes ICA, y cliente
Java
Configurar firewalls (Server and Client side)
Login page de NFuse
Página por defecto http//server/Citrix/NFuse17
Se puede modificar

89
NFuse Admin
90
NFuse Admin CSG Settings MF Server

Especificar dirección del servidor(es) Metaframe
y puerto XML

91
NFuse Admin Settings - CSG

Check Citrix Secure Gateway
Soporta usuarios CSG y no CSG (internos)

92
Opciones de Server-side Firewall

Soporte para conexiones CSG y no-CSG

Seleccionar sólo si existe un firewall NAT entre
CSG y servidores MetaFrame
Seleccionar para habilitar round-robin STA Load
Balancing
93
CSG con NFuse Classic 1.7 Unix

En NFuse Classic 1.7 para UNIX, es necesario
modificar NFuse.conf manualmente
AddressTranslationMapped
ClientAddressMap10.,Normal,,CSG
SessionField.NFuse_CSG_AddressTranslationNormal
SessionField.NFuse_CSG_Servercsg.company.com
SessionField.NFuse_CSG_ServerPort443
SessionField.NFuse_CSG_STA_URL1
http//10.3.2.1/Scripts/CtxSta.dll

94
Recomendaciones - consideraciones

En pilotos, CSG y Nfuse pueden estar en la misma
máquina.
En producción no se recomienda que sean la misma
por
IIS (NFuse) y CSG tratan de utilizar de forma
exclusiva el puerto TCP 443
Si se cambia el número de puerto en vez de 443 en
alguno de los componentes ? cambiarlo en el
Firewall
Pasos para configurar NFuse y CSG en la misma
máquina CTX799332
Securizar servidor CSG y Nfuse a nivel de
permisos y políticas.

95
Posibles arquitecturas CSG
96
Expandiendo o reduciendo CSG
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

La arquitectura de libro de CSG se compone de
un servidor para cada componente NFuse, CSG y
STA
En despliegues pequeños distintos componentes
pueden compartir hardware
En despliegues grandes, se recomienda tener
componentes redundantes y balanceados

97
Un servidor para todo
MetaFrame NFuse CSG STA
Client

Recomendado sólo para demostraciones instalar
Windows 2000, IIS, MetaFrame, NFuse, CSG y STA
todo en un servidor
Cambiar el puerto CSG de 443 a 1443 (o cualquier
otro)
Utilizar http//localhost/Scripts/CtxSta.dll como
la URL STA
Usar localhost80 como servicio XML MetaFrame

98
Compartir STA con MetaFrame
NFuse CSG
MetaFrame STA
Client

STA supone poca carga y se puede compartir con un
servidor MetaFrame o cualquier otro servidor IIS
Como antes, cambiar puerto CSG para albergar
NFuse y CSG en el mismo servidor, o asignar dos
direcciones IP al servidor NFuse/CSG y seguir
las instrucciones del documento CTX799332 para
deshabilitar socket pooling en IIS

99
Colocar STA en un Control Server
NFuse
MetaFrame STA
Client
CSG
MetaFrame

A medida que la granja crece, conviene separar
NFuse y CSG en distintas máquinas
Aislar un servidor MetaFrame como control
server en vez de servir aplicaciones
publicadas, actúa de data collector de la zona,
servicio XML primario y STA

100
Textbook installation
NFuse
MetaFrame
Client
STA
CSG
MetaFrame

Para reducir tráfico XML en el control server
MetaFrame, separar STA en otra máquina
no-MetaFrame
En un despliegue típico, sólo NFuse y CSG residen
en una DMZ (Demilitarized Zone)
Firewall exterior puerto 443 para NFuse y CSG
Firewall interior tráfico HTTP por puerto 80 a
la STA y MetaFrame control server, y tráfico ICA
en puerto 1494 desde CSG a todos los servidores
MetaFrame

101
Pasarelas y servidores web redundantes
MetaFrame
NFuse
Client
STA
CSG
MetaFrame

Cualquier método de balanceo de carga basado en
sesión puede ser utilizado con los servidores web
o gateways DNS round-robin, MS Network Load
Balancing or hardware load balancers
El mismo certificado y clave privada estarían
instalados en cada servidor CSG (csg.company.com)
Después de instalarlo en el primer servidor,
exportar el certificado y clave privada a un
fichero .pfx
En los otros servidores CSG, importar el fichero
.pfx utilizando MMC snap-in

102
Múltiples servidores de control MetaFrame
NFuse
MetaFrame
Client
STA
CSG
MetaFrame

NFuse Classic 1.7 puede hacer balanceo de carga
entre varios servicios XML (round-robin)
Si la granja es grande, dividirla en zonas, y
usar cada DC como control server para NFuse

103
Multiple STAs Alta disponibilidad
NFuse
MetaFrame
STA01
Client
STA02
CSG
MetaFrame

Si se usa más de una STA, cada una debe tener su
identificador único (STA01, STA02, etc)
NFuse Classic 1.7 puede hacer balanceo de carga
de STA (round-robin)
CSG se dirige a la STA elegida por NFuse. El STA
ID está incluido como parte del ticket. CSG debe
ser capaz de resolver cada STA ID con su URL
correspondienteAddress10STA01FE0A7B2CE2E77DD
C17C7FD3EE7959E79

104
Securidad en CSG
105
Seguridad

Security basics
Buen diseño incluyendo seguridad física
Habilitar Auditing herramientas propias o de
terceros
Lockdown sistema de ficheros local Windows o
Unix
Mantener actualizado con hotfixes y security
patches
HFNETCHK.EXE atwww.microsoft.com/technet
HFNetChk herramienta command-line que permite al
adminstrador comprobar el estado de los patches
en máquinas Windows NT 4.0, Windows 2000, y
Windows XP
http//www.Microsoft.com/security/

106
Securizar entorno Secure Gateway

Despleguar Citrix Secure Gateway en DMZ
Situar CSG en una DMZ entre dos firewalls
Securizar físicamente la DMZ para prevenir acceso
a firewalls
Configurar firewalls para restringir acceso sólo
a los puertos específicos
Secure Ticket Authority - localización
Security server
Contiene información importante de conexión
Servicio Isapi.dll puede correr en servidor de
ficheros/ Citrix
Ideal en un servidor separado

107
Securizar entorno Secure Gateway

Seguir recomendaciones de seguridad de Microsoft
y terceros
Eliminar componentes que no se usan
Instalar software mínimo
Usar políticas para restringir clientes
Controlar accesos
Sistema de ficheros
NTFS
Mínimos derechos necesarios
Lockdown local file system Windows or Unix
Microsoft IIS Lockdown tool (MIAB)
Securiza servidor web IIS
Disponible en http//download.microsoft.com/downlo
ad/iis50/Utility/2.1/NT45/EN-US/iislockd.exe

108
Deshabilitar servicios innecesarios

En servidores Windows 2000 por defecto hay unos
31 servicios innecesarios
Computer Browser, DHCP, DFS, Fax Service,
Internet Connection Sharing, Messenger
Deshabilitar en Services MMC Snap-in de Windows
2000
Válido igualmente para Solaris
Armoring Solaris II, July 2002, Lance Spitner
www.phoneboy.com

109
Securizar Windows

Securizar Windows 2000 File system
DumpSec
Hyena
Windows 2000 Resource kit tools
Incluyen herramientas para gestionar información
de permiso de ficheros, de usuario, cuentas,
lista de shares

110
Securizar Windows

Host based security scanner to check
vulnerabilities
Symantec Net Recon
ISS System Scanner
Langaurd, Shadow Tools or other free scanner
Escanean hosts y comprueban puntos vulnerables
ej puertos abiertos

111
Autenticación

Citrix Secure Gateway es una solución de acceso
remoto
Utilizar autenticación segura, industry standard,
two-factor authentication
Certificados
Tolken-based ej. RSA SecureID
Secure Computing
Seguridad external E Interna!

112
Política Local

Política de Password
History requirement
Password age - expiración
Character length
Force requirements to be met
Cuentas de usuarios
Deshabilitar cuentas de usuario no utilizadas
Default IIS account, Guest

113
Anonymous Access

After disabling the auto-created anonymous user
account for IIS on both the Nfuse Web, and STA
servers, create a new anonymous access account

114
Auditing

Auditar eventos locales
MMC Security and Analysis Snap-in
Tamaño event log aumenta hasta 500MB
Backups periódicas del event log
Objetos específicos para auditar
Gestión de cuentas
Eventos de Logon
Cambio política

115
Securizar entorno Secure Gateway

Restringir Ciphersuites
Ciphersuite define tipo de encriptación
algoritmo, parámetros (keys size)
Establecer una conexión segura implica negociar
el ciphersuite utilizado en las comms. ICA client
informa a CSG los ciphersuites que soporta y CSG
informa al cliente el ciphersuite que se
utilizará
CSG soporta 2 categorías de ciphersuite
COM (commercial)
GOV (government).
Opción ALL incluye ambas
HKLM\SYSTEM\CurrentControlSet\Services\CtxSecGwy\G
lobal\CipherStrengthALL
Restringir ciphersuite a COM o GOV

116
Modo Relay

CSG se puede usar en modo Normal o Relay
Normal Mode
Modo recomendado. CSG hace de pasarela en
Internet. Strong security autenticación y
autorización NFuse - STA
Relay Mode
No hay ticketing de STA. La autenticación la
realiza el servidor MF
No se recomienda para usar con CSG. De esta forma
las direcciones IP de los servidores son visibles
al cliente ICA. CSG es sólo un túnel encriptado a
través del firewall
Instalación
msiexec /I csg_gwy.msi RELAYMODE1
Modificación APPSRV.INI en clientes
WFClient
Fuerza al cliente ICA a utilizar SSL
SSLEnableOn
Conexión al CSG (FQDN)
SSLProxyHostcsgwy.company.com443

117
Troubleshooting
118
Técnicas de Troubleshooting

Funciona NFuse eliminando CSG y STA?
Qué conexión falla?
Habilitar verbose logging en STA configurando
LogLevel3 in CtxSta.config
Habilitar verbose logging en pasarela CSG
ejecutando la utilidad de configuración del
servicio
Añadir contadores de rendimiento de Gateway y al
servidor Windows 2000

119
Problemas comunes

El certificado CSG no está correctamente
instalado
IIS en la STA está bloqueado, impidiendo
comunicaciones XML/HTTP anónimas usar la
herramienta de debugging de web server en
CTX052061 para el troubleshooting
Firewall interno no permite comunicación HTTP con
STA (debe ser HTTP, no HTTPS)
Firewall externo times out conexiones - habilitar
ICA Keep-Alives para mantener la sesión

120
Troubleshooting

Consejos
Verificar que todas las máquinas que participan
en la implementación de CSG pueden hacer ping por
su FQDN.
Netstat, para verificar que la CSG gateway está
escuchando por el puerto 443 (https).
Netstat, para verificar que la STA está
escuchando por el puerto 80 (http).
Verificar la versión de cliente ICA 6.30 o
superior
Encriptación 128 bit del navegador

121
Debug.asp output

CTX052061 Herramienta de análisis y debugging
de servidor web Citris (debug.asp)
Ayuda en troubleshooting de problemas de
configuración relacionados con IIS
Inspecciona un servidor web con IIS e informa del
estado del servidor NFuse, STA o servidor MF con
servicio XML IIS

122
Ejemplo fichero log STA

D\InetPub\Scripts\sta20021011-00.log
INFORMATION 2002\10\11095149 CSG1302
CtxSTA.dll Unloaded
INFORMATION 2002\10\11141626 CSG1301
CtxSTA.dll Loaded
INFORMATION 2002\10\11141626 CSG1305 Request
Ticket - Successful AEDE0237301BB971C6FD964156A12C
F4 192.168.0.1521494
INFORMATION 2002\10\11141856 CSG1305 Request
Ticket - Successful F67755CDB77C8D0190BEA0866E8046
8B 192.168.0.1521494
INFORMATION 2002\10\11141859 CSG1304 Request
Data - Successful F67755CDB77C8D0190BEA0866E80468B
192.168.0.1521494
INFORMATION 2002\10\11143126 CSG1303 Ticket
Timed Out AEDE0237301BB971C6FD964156A12CF4
INFORMATION 2002\10\11150024 CSG1302
CtxSTA.dll Unloaded

123
Contadores de rendimiento STA

Se puede monitorizar el rendimiento de Secure
Gateway y STA usando la consola de Rendimiento de
los servidores Windows 2000

124
Contadores de PerfMon

En la Secure Ticketing Authority
STA Bad Data Request Count
STA Bad Save Request Count
STA Good Data Request Count
STA Good Save Request Count
STA Good Ticket Request Count
STA Peak Data Request Rate
STA Peak Save Request Rate
STA Peak Ticket Request Rate
STA Save Request Rate
STA Ticket Timeout Count

125
Contadores de rendimiento Gateway
126
Contadores PerfMon
En el servidor Secure Gateway

Active Session Count
Client Connections Accepted
Client Connections Failed
Client Connections Timed Out
Global Clients to Gateway Bytes
Global Clients to Gateway Packets
Global Gateway to Client(s) Bytes
Global Gateway to MetaFrame server bytes
Global MetaFrame server to Gateway Bytes

Global MetaFrame server to Gateway
Packets MetaFrame Connections Failed MetaFrame
Connections Successful Peak Active Clients Peak
Client Connection Attempts Peak STA Data
Requests Peak STA Save Tickets STA Data Requests
Failed STA Data Requests Successful STA Save
Tickets Failed STA Save Tickets Successful
127
Dsiponibilidad CSG v1.1

Precio
Sin ningún coste - beneficio de la Subscription
Advantage.
CSG NO se vende a clientes de MetaFrame XP para
Windows o MetaFrame para UNIX que no hayan
comprado con Subscription Advantage
Disponibilidad
Clientes de MetaFrame XP (Windows o UNIX), y con
contrato de Subscription Advantage válido y
activo pueden descargar CSG desde el Citrix
Secure Portal en www.citrix.com/mycitrix -
Subscription Advantage benefit fulfillment.
CSG v1.1 Windows (English) available on MF FR2
Components CD
CSG v1.1 Solaris available from Citrix Secure
Portal for Subscription Advantage Customers
Licencias
Licencias en los servidores MetaFrame, no
requiere licencia adicional

128
Para más información

Contactar con un miembro de Citrix Solutions
Network
www.citrix.com/products/securegateway
SSL TLS Essentials Securing the Web by
Stephen A. Thomas
Applied Cryptography by Bruce Schneier
Hacking Exposed, Second Edition
Solaris Security, Sun Microsystems
www.tweakcitrix.com
www.nsa.gov
www.itwhitepapers.com
www.citrix.com
www.securityfocus.com

129
Available ResourcesWhite Papers

RSA Setup Guide by David Kim
Installing the ACE server from a Citrix Admin
perspective
Contact your local Citrix SE for a copy
RSA SecurID Ready Implementation Guide
www.rsasecurity.com
Securing Citrix with SafeWord PremierAccess
www.securecomputing.com

130
Available ResourcesCode

Secure Computing Universal Web Agent
www.securecomputing.com
RSA ACE/Agent 5.0
www.rsasecurity.com
Project Willamette
www.iscnet.co.uk, http//www.tweakcitrix.com
Project Columbia
www.citrix.com/cdn, http//www.tweakcitrix.com
Free One Year SSL Certificate
www.freessl.com

131
knowledgebase de Citrix

CTX808625 Common certificate and private key
problems
CTX711855 Common SSL Error messages and their
causes
CTX799332 Running CSG and NFuse/IIS on the same
server
CTX338681 Troubleshooting STA connectivity
CTX552703 Using private SSL certificates with
the ICA Java client and NFuse Classic 1.7
CTX955678 Using private CA root certificates
with UNIX ICA clients
CTX678219 Configuring NFuse 1.61 to work with
CSG)

132
(No Transcript)

Write a Comment

User Comments (0)