Integration Citrix Webinterface

Transkript

1 Integration Citrix Webinterface Der Wunsch, Applikationen unabhängig von Zeit und Ort aus einem Internet Explorer heraus zu starten, wird Citrix Webinterface gerecht. Je nach Konfiguration und Standort der Server, ist es möglich, ausserhalb des Firmennetzes auf Software zugreifen zu können. Voraussetzungen des Zugriffs via Internet - Grundlage ist immer eine funktionierende Terminal Server Farm mit Citrix Metaframe - Internet Information Server mit Webinterface Erweiterung - Citrix Secure Gateway (CSG) - Citrix Ticket Authority (STA) - Öffentliche Digitale Zertifikate - Verschlüsselungsprotokolle - Umgebung zur Sicherheitsauthentifizierung - ICA Web Client mit 128-bit Verschlüsselung - Firewall - DMZ Seite 1 / 10 Buholzer Informatik AG Tel

2 Sicherer Web Zugriff auf Applikationen Internet Client Device De-militarized zone (DMZ) MetaFrame XP server farm Int Port 1494 ICA Client Welcome 7 SSL/TLS 6 FireWall 1 Port 443 Citrix Secure Gateway Ext FireWall STA MetaFrame XP server Citrix Secure Ticket Authority 3 Web Browser HTTPS 1 NFuse Classic Server 2 Citrix XML Service Ext Int Seite 2 / 10 Buholzer Informatik AG Tel

3 Schritt System Beschreibung 1 Web Browser Der Benutzer gibt eine ihm bekannte URL ein, z.b. https://citrix.buholzer.ch. Die Startseite des Webinterface erscheint. Der Benutzer gibt seine Logininformationen und die 6-stelligen zufällig generierten Sicherheitszahl der SecurID Karte ein. Die Startseite sehen Sie in diesem Dokument Seite 5. Da https im Einsatz ist, wird über Port 443 kommuniziert ICA Client 2 Webinter face 3 ICA Client 4 Webinter face 5 Webinter face Danach ist die Validierung erfolgt und der ACE Server verbindet direkt auf die geschützte Webinterface Web Site wo dann die normalen Domänen User Credentials mit Username, Passwort und wenn gewünscht, Domäne abgefragt werden Kontaktiert den XML Service über Port 80 um die Liste der Applikationen, welche dem Benutzer zur Verfügung stehen, abzufragen Zeigt dann aufgrund dessen eine neue Web Seite an, in welcher die Applikationsicons der authorisierten Applikationen dargestellt werden. Dies ist derselbe Vorgang wie er bei einem normalen Program Neighborhood Client passiert. Wählt die gewünschten Applikationen aus Kontaktiert den XML Service auf Port 80 um die IP Adresse des Metaframe Servers abzufragen, auf welchem dann die Applikation gestartet wird Sendet die IP Adresse an den Security Ticket Authority Server via Port 80 Beantragt ein Secure Gateway Ticket für den Benutzer. Der STA Server speichert die IP Adresse und stellt Webinterface das beantragte Secure Gateway Ticket zur Verfügung 6 Webinter face Erstellt eine ICA Datei welche das vom STA ausgestellte Ticket enthält und sendet dieses zum Client Browser. Die ICA Datei erstellt vom Webinterface beinhaltet den Fully Qualified Domain Name (FQDN) vom Secure Gateway Server. Die IP Adresse des Metaframe Servers welche dann die Applikation ausführt, wird so nie gegen aussen dargestellt 7 ICA Client Führt eine SSL Verbindung basierend auf der ICA Datei vom Webinterface auf den Secure Gateway Server aus. Initial Handshaking wird ausgeführt, um die Identität des Secure Gateway Servers sicherzustellen Seite 3 / 10 Buholzer Informatik AG Tel

4 8 Secure Gateway Akzeptiert das Ticket vom ICA Client. Die Informationen im Secure Gateway Ticket werden verwendet, um den STA zu identifizieren und kontaktieren. Die Ticket Validierung erfolgt über den Port 80 Wenn Dann. Der STA das Ticket validieren kann Wird die IP Adresse des Metaframe Servers auf welchem die Applikation gestartet wird zurückgesendet Das Ticket abgelaufen oder invalid ist Informiert der STA den Secure Gateway Server und es erscheint beim ICA Client Device eine Fehlermeldung 9 Secure Gateway Bestätigt eine ICA Verbindung auf die erhaltene gültige IP Adresse des Metaframe Servers Überwacht den ICA Datenfluss der Verbindung, ver- und entschlüsselt die Client-Server Kommunikation. Verkehr zwischen dem ICA Client und dem Secure Gateway fliesst über den Port 443; Verkehr zwischen dem Secure Gateway zum Metaframe Server wird über Port 1494 hergestellt Seite 4 / 10 Buholzer Informatik AG Tel

5 erste Identifikation beim Aufruf der URL unter PASSCODE: erfolgt der Eintrag der Sicherheitszahl der SecurID Karte Seite 5 / 10 Buholzer Informatik AG Tel

6 RSA Dies ist die Software, welche für die Sicherheitsauthentifizierung eingesetzt wird. Diese stellt sicher, dass keine Passwörter gefiltert werden können. Secure ID Token Die SecureID Karte oder wie oben der Schlüsselanhänger generieren alle 60 Sekunden eine neue 6-stellige Zahl. Dieser Operation ist ein mathematischer Algorithmus hinterlegt welcher nicht nachvollzogen werden kann. Nur mit der Eingabe eines Usernamens, eines 4-stelligen Zahlencodes PLUS der automatisch generierten 6-stelligen Zahl kann der Zugriff auf die Ressourcen erfolgen. Würde allenfalls ein Angreifer versuchen, die Informationen zu filtern, wären die Informationen nach spätestens 60 Sekunden nicht mehr gültig. Der Hacker muss für eine erfolgreiche Authentifizierung zwingend im Besitze des Tokens sein. RSA ACE Server Um die Tokenverwaltung zentral zu steuern, wird der ACE Server installiert. Dort können Benutzern via der Seriennummer ein bestimmtes Token zugewiesen werden. Dem Benutzernamen, welcher aus dem Active Directory herausgelesen werden kann, wird dann derselbe mathematische Algorithmus wie dem Token hinterlegt. So ist es möglich, dass der Token wie auch der ACE Server jederzeit wissen, welche 6-stellige Zahl als nächste zufallsmässig generiert wird. Nur dann kann eine Anmeldung durch den Benutzer erfolgen. Der ACE Server ist auch mit umfangreichen Überwachungsmechanismen ausgerüstet, welche jederzeit erlauben, Zugriffe zu überwachen, Tokens frisch auszustellen oder Benutzer zu sperren oder einzuschränken RSA ACE Agent Der Agent fungiert als Sicherheitsüberwacher zwischen dem Client und dem ACE Server. Da beim Einsatz von Citrix Secure Gateway dieser die Funktion des Clients übernimmt, wird der Agent eben auch auf diesem Server installiert. Seite 6 / 10 Buholzer Informatik AG Tel

7 DMZ Ist die Abkürzung für Demilitarized Zone. Es bezieht sich auf ein Netzwerk zwischen einem privaten und einem öffentlich zugänglichen Netzwerk um einen zusätzliche Sicherheitsschicht einzubauen. Firewall Die Firewall stellt eine Barriere zwischen zwei oder mehreren Netzwerken dar, welche Daten je nach den eingeschalteten Kriterien zulassen oder nicht. Eine Firewall ist ein System oder eine Gruppe von Systemen, welches zuständig ist, sämtliche Kommunikations-Sicherheits Richtlinien durchzusetzen. Um eine sichere Umsetzung zu gewährleisten, muss der Firewall als Gateway für den ganzen Datenverkehr agieren. Citrix Secure Gateway Citrix Secure Gateway (CSG) ist ein sicherer Internet Gateway für ICA Datenverkehr von und zu einer unternehmensweiten integrierten Metaframe Umgebung über existierende öffentliche Netzwerke (Internet). Dieser Service verschlüsselt und authorisiert alle ICA Verbindungen sowohl von intern wie auch von extern. Dies zum Schutze von Lauschund Hackerangriffen. CSG fügt sich wirksam und nahtlos in die Citrix Technologie ein und bietet mit der eigenen Sicherheitsinfrastruktur eine geschützte client-server Kommunikation über das Netzwerk. CSG kann auch für den unternehmensinternen Datenfluss via LAN oder WAN eingesetzt werden. Citrix Secure Ticket Authority Dies ist ein Internet Server Application Program Interface (ISAPI) Dynamic Link Library (DLL) welches vom Internet Information Server geladen und aufgerufen wird, sobald eine Anfrage für ein Ticket von Webinterface gestellt wird. Seite 7 / 10 Buholzer Informatik AG Tel

8 Verschlüsselung Digitale Informationen können verschlüsselt werden indem ein so genannter Encryption Algorithm verwendet wird. Dieser Algorythmus führt eine spezielle Verschlüsselungs Kalkulation unter Verwendung eines Zeichenschlüssels, besser bekannt als der Schlüssel. Ist die Digitale Information dann verschlüsselt, weiss der Schlüssel wie die komisch ausschauenden Zeichen ursprünglich zusammengesetzt waren und kann diese wieder entschlüsseln. Es wird zwischen zwei verschiedenen Verschlüsselung Algorithmen unterschieden. Symmetrischer Verschlüsselungs Algorythmus Dieses Verschlüsselungsverfahren benutzt den selben Schlüssel für das ver- und entschlüsseln der Daten. Der symetrische Schlüssel kann auch als Papier angesehen werden, welches den Code der übertragen werden soll beinhaltet. Der grosse Vorteil besteht, dass der Vorgang für die Verschlüsselung dadurch sehr schnell vor sich geht. Der Nachteil bei dieser Verschlüsselungstechnik ist, dass der Schlüssel, welcher sowohl zum ver- und entschlüsseln gebraucht wird, der Person gesendet werden muss, welche diesen dann für die Entschlüsselung braucht. Die Übertragung stellt hier ein Sicherheitsrisiko dar. Public-key-private-key Verschlüsselungs Algorhythmus Der öffentliche Schlüssel representiert eine Art leere Box, welche zu jedermann gesendet werden kann. Sind in der Box Informationen gespeichert, können diese nur von der Person gelesen werden, welche im Besitze des privaten Schlüssel ist. Der private Schlüssel bleibt strikte im Besitze der Person, welche die öffentliche Box erstellt und versendet hat. Der Vorteil liegt darin, dass der öffentliche Schlüssel für alle zugänglich ist, aber nur diejenigen die auch einen privaten Schlüssel besitzen, die Informationen effektiv auch lesen können. Natürlich braucht diese Art von ver-und entschlüsselung mehr Performance wie die symetrische Art der Verschlüsselung Seite 8 / 10 Buholzer Informatik AG Tel

9 Authentifizierung von Kommunikationspartner (Zertifikaten) Beim Verschlüsselung wurde ein Datenaustausch via Verschlüsselung kurz erklärt. Der Mechanismus beruht auf einem Public-key-private key Verfahren. Der öffentliche Schlüssel verschlüsselt die Daten, während der private Schlüssel die Daten wieder entschlüsselt. Das gibt jetzt zwar eine sichere Verbindung, nur wie stellt man jetzt sicher, dass der- oder diejenige welche im Besitze des privaten Schlüssels nun wirklich auch die richtige Person ist? Um dies sicherzustellen werden Digitale Zertifikate eingesetzt, welche die Identität der kommunizierenden sicherstellen. Ein Digitales Zertifikat ist die elektronische Fassung einer ID Karte oder eines Passes. Ein solches Zertifikat erlaubt es, einander zuerst zu identifizieren, bevor die verschlüsselte Verbindung bestätigt und aufgebaut wird. Es gibt 2 unterschiedliche Wege, Zertifikate auszustellen. Die erste ist, man installiert auf einem Windows 2003 Server einen Zertifikatsserver Dienst, welcher ermöglicht, eigene interne Zertifikate zu erstellen. Die andere Variante ist, man stellt die Digitalen Zertifikate über eine Certification Authority aus wie z.b. Trustcenter, Verisign, Baltimore, Thawte oder RSA. Diese Stellen sind beauftragt, die Zertifikate von Firmen auszustellen und zu überprüfen, dass die Firma auch wirklich die ist, welche sie vorzugeben scheint. Gerade bei öffentlichen Diensten wie Internet Banking oder eben aber Remote Access via Web Portal ist dies eine seriösere Variante. SSL In den vorangegangenen Kapiteln wurde gezeigt, wie Informationen zwischen Computern verschlüsselt werden können mit Hilfe von Public-key-private keys. Desweiteren wurde aufgezeigt, wie die Identifikation mit dem Kommunikationspartner via öffentliche Zertifikate funktioniert. Mit SSL kommt der nächste und letzte Schritt, welcher zeigt, wie die beiden Prozesse zusammen arbeiten und so eine effektive Netzwerksicherheit garantieren. SSL ist ein Protokoll welches von Netscape entwickelt wurde. Dieses Protokoll stellt die sichere Netzwerk Kommunikation zwischen einem Web Browser Client und und einem Web Server her. SSL unterstützt daher die Verschlüsselungs Algorithmen und die Übermittlung von Digitalen Zertifikaten. Im Zusammenhang mit SSL sind vorallem 2 Komponenten der Kommunikation entscheidend: Handshake erlaubt es, den Server gegenüber dem Client zu authentifizieren und die Verschlüsselung zu bestätigen. Ist der Handshaker bestätigt, wird eine SSL Session ausgeführt. Session erlaubt die sichere Verschlüsselungs-Verbindung zwischen Client und Server. Seite 9 / 10 Buholzer Informatik AG Tel

10 Web Browser Der Web Browser dient als Zugriff auf die Webinterface Umgebung. Die einzige Voraussetzung die dieser erfüllen muss, ist die Fähigkeit, eine 128-bit Verschlüsselung fahren zu können. Da Kommunikationen zwischen Web Browser und Webinterface ausschliesslich über https Port 443 erfolgen und im Webinterface ausserdem zwischen Citrix Client, Java Client oder ActiveX gewählt werden kann, ist eine Kommunikation ohne spezielle Installationen auf dem Client immer möglich. Das heisst, der Benutzer kann sich in irgendeinem Internet Café auf der Welt problemlos auf seine Umgebung verbinden. Internet Information Server Um den IIS vor unerwünschten Attacken zu schützen (z. B. mit bewusst fehlerhaften Requests), muss dieser jeweils mit den neusten Sicherheitsupdates auf dem neusten Stand gehalten werden. Ausserdem muss bei der Integration dieser entsprechend sicher konfiguriert werden. Seite 10 / 10 Buholzer Informatik AG Tel