Citrix architectuur --> ultieme security

Wat wil je eigenlijk beveiligen? Persoonlijke gegevens, klantgegevens, concurrentiegevoelige informatie, integriteit van je data, iets anders? Dan is bovenstaand stukje over server based computing maar een heel klein onderdeel van het totale plaatje. Zolang je accountmanagers hun klantenbestand naar huis kunnen mailen zonder dat iemand het weet heb je niets aan je SSL encryptie en 2-factor authenticatie. Zodra hij gaat werken bij de branchegenoot gaan de klanten en leads mee. Zo lang die knul bij R&D mailt en MSNt met zijn kameraden over de leuke klus waar hij aan werkt sijpelt er waardevolle informatie weg.

De achilleshiel in een volkomen thin ontwerp is de connectiviteit.

Nee, dat is de gebruiker. En zelfs de gebruiker is maar een onderdeel van je integraal beveiligingsbeleid.

Wanneer je een integraal beveiligingsbeleid hebt dan komen technische aspecten als encryptie vanzelf voorbij, maar dat heeft alleen nut als dat hand in hand gaat met goede procedures en aanvullende oplossingen zoals bijvoorbeeld DRM.

Sorry voor dit geblaat, ik hoop dat je er wat aan hebt.

Edit: Ik werd getriggerd door 'ultieme security' in je titel, ik denk dat ik daar vooral op reageerde.

[ Voor 6% gewijzigd door Jazzy op 04-07-2008 13:14 ]

JPS schreef op vrijdag 04 juli 2008 @ 13:02:
Discussiepunten


Graag hoor ik of mijn gedachten enig hout snijden en vooral, welke kritische kanttekeningen zijn te plaatsen.

Zoals jij het beschrijft, zo hebben wij ons complete netwerk geïmplementeerd.

Een kleine beschrijving van ons netwerk:

Op onze hoofdlocatie staan alle Citrix servers tezamen met andere, benodigde server, zoals DC's, Exchange, File, etc. Alle servers, muv de Citrix Terminal Servers ( 40 stuks ) en de ISA zijn gevirtualiseerd. De Citrix farm is ingesteld dat er gebruik wordt gemaakt van een 128-bits encryptie.

Deze hoofdlocatie wordt redundant gemaakt dmv een uitwijkcentrum pakweg 200 mtr verderop.

Op onze andere locaties ( +/- 65 vestigingen ) over heel Rotterdam en omstreken staan bijna alleen maar HP Thin cliënts. Deze zijn zodanig uitgerold dat ze een HP Connectie Manager scherm tonen bij opstarten. Hierop kan een Citrix connectie worden gemaakt naar onze hoofdlocatie. Er staat ook nog enkele fat-cliënts. Dit zijn enkele speciale werkplekken.

Verbindingen:

Al onze vestigingen hebben de beschikking over een KPN Epacity of Versatel IP-VPN verbinding. Deze worden allemaal bediend mbv Cisco apparatuur. Alle verbindingen worden geëncrypt.
Op al onze verbindingen hebben wij SLA's afgesloten. Hiermee kunnen wij heel veel problemen afvangen. Redundante verbindingen is in ons oogpunt niet nodig. Als je echt een grote storing hebt ( zoals 2 mnd geleden bij KPN ) vallen echt al je verbindingen weg.

Laptops:

Ook hebben wij diverse laptops in onze organisatie uitgerold. Deze hebben allemaal een UMTS verbinding ( via Versatel ). Op deze laptops wordt er via een Citrix webcliënt connectie gemaakt met onze Citrix farm. Ook deze webconnectie is encrypted.

Wat wij uit ervaringen van onze gebruikers vernemen, is het wel mogelijk om bijvoorbeeld in de trein en/of op de weg te werken. Alleen zijn er nog (helaas) bepaalde delen in Nederland waar de dekking niet echt geweldig is te noemen en de UMTS verbinding dus terugzakt naar een GPRS verbinding.
Iedereen die een laptop heeft, heeft ook een token, waarmee ook een stuk beveiliging is ingebouwd.

Thuiswerkers:

Ook is er een redelijk grote groep met medewerkers die de mogelijkheid hebben gekregen om thuis te werken. Dit gebeurd dus ook dmv een token. Hiermee ondervinden we weinig tot geen problemen.

Maar om even terug te komen op je vragen:

1) welke kanntekeningen zijn te plaatsen in mijn beschreven volkomen thin ontwerp?
Niet echt veel, zolang je je security maar goed in de gaten houdt.

2) is verbinden met onbetrouwbare AP's/netwerken ook echt zonder risico?
Helemaal zonder risico zit je niet, want je hebt ook nog zoiets als gebruikers in je netwerk , maar als je Citrix verbinding maar geëncrypt wordt, ben je al een stuk zekerder. En anders, zoals wij het doen, brengt een UMTS kaart wellicht een oplossing. Is alleen wel een stevige kostenpost.

3) Hoe werkt HSDPA onderweg, is de dekking goed en valt bijvoorbeeld ook goed in de trein te werken?
Tja, dit is gewoon een kwestie van uitproberen. Wij hebben de ervaring dat dit wel goed werkt.

[ Voor 10% gewijzigd door nextware op 04-07-2008 13:27 ]

Je zit in ieder geval nog met probleem dat er via de browser en mail gebruikers geinfecteerd kunnen raken met spyware, virussen etc. Ook al draai je een up to date virusscanner dan zal niet alles tegen gehouden worden. Een pluspunt is dat de gebruikers geen admin rechten hebben (als het goed is) en de impact dus waarschijnlijk niet zo hoog zal zijn.

- Maken administrators ook gebruik van accounts met beperkte rechten?

- Staan er ergens op het LAN nog webservers, database servers, etc welke een dienst op internet aanbieden?

@ nextware, kort vraagje, waarom zit je uitwijk op 200m afstand? Is niet heel ver weg

[ Voor 7% gewijzigd door sh4d0wman op 04-07-2008 13:33 ]

Wat ga je doen met externe leveranciers / beheerspartijen die geen thin client hebben?

Wil je deze via de Citrix Access Gateway (met advanced security) toegang gaan aanbieden aan enkel de resource die ze moeten benaderen?

sh4d0wman schreef op vrijdag 04 juli 2008 @ 13:32:
@ nextware, kort vraagje, waarom zit je uitwijk op 200m afstand? Is niet heel ver weg

Dat is zo gedaan omdat er nu een dedicated 32-aderige glasvezel verbinding tussen deze 2 panden gelegd kon worden, waarmee we realtime en continue kunnen repliceren. Als er dus op de hoofdlocatie iets gebeurd, hebben we maar een beperkt verlies van gegevens. En hier gaat het dan met name om cliënt gegevens op onze AS400 machines. Deze verstouwen per seconde redelijk veel data.

Hiermee hoeven we dus niet met tapes, etc aan de slag als er iets gebeurd.
Ook liggen daar nog 2 slapende Epacity verbindingen, waarmee we ons netwerk binnen één uur weer up-and-running hebben.

@JPS:

Mijn gedachte is om ook gebruik te maken van twee leveranciers, inderdaad om dat gehannes zoals met KPN onlangs te voorkomen. Dat is echt een nachtmerrie... Hebben jullie daar toen ook last van gehad?

Ja, we hebben wel wat vestigingen gehad die er met regelmaat uitvlogen. Dit waren zowel KPN als Versatel vestigingen. Gelukkig hebben we dan wel medewerkers die begrip voor de situatie hebben en gewoon rustig alles met pen en papier afhandelen en later netjes invoeren

Zijn dat ook echt thin laptops? Met echt niets (anders dan OS& citrix client) lokaal, dus ook bijv geen (MS) officepakket en documenten?

De meeste zijn idd zo uitgerust. (30 stuks)
Sommige hebben wel Office geïnstalleerd, maar dit heeft met name met medewerkers te maken die bij cliënten thuis op bezoek gaan. Net even opgezocht: een 5-tal laptops

Tuurlijk, maar dat heb je ook in een fat architectuur. Wat ik bedoel is dat netwerkverkeer onderschept kan worden. Bij mijn weten zit het met Citrix potdicht en kun je dus gerust met een rogue AP verbinden. Qua HSDPA kosten: ik heb in de wandelgang vernomen dat bij een grootschalig bedrijfsabonnenment de kosten ~25 euro per gebruiker zouden zijn, met datalimiet van 50GB. Klonk mij wat onlogisch in de oren. Ik dacht misschien een vergissing en dat het op 50 MB begrenst zou zijn... Anyone?

Hier heb ik geen idee eigenlijk van. Wij sluiten de abonnementen niet af. Dit verzorgt een andere afdeling. Wij installeren deze apparaten alleen maar en geven hiervan uitleg aan de betreffende medewerker.

Die groep was ik nog even vergeten te noemen, maar inderdaad, hetzelfde heb ik in gedachten zoals je beschrijft. Na installatie van de citrix client op de (prive) thuispc inloggen op het citrix portaal met token.

Even een kleine tip: als je hiermee begint, pak dan direct de allerlaatste cliënt versie. Wij hebben wat problemen gehad met versie 9.x. Deze werkte perfect op Windows XP, maar was niet aan de praat te krijgen op Vista. Hiervoor hebben we dus een nieuwe cliënt versie ter beschikking gesteld.

[ Voor 57% gewijzigd door nextware op 04-07-2008 13:59 ]

Naast diverse beheervoordelen (centraal) en kostenreductie van hardware l

Beheervoordelen zijn er zeer zeker. Maar op kostenreductie hardware moet je je niet teveel verkijken. Citrix is niet bepaald gratis, en in plaats van 1 machine per user heb je een thin client + equivalente hardware aan je serverkant (duurder hardware, maar te gebruiken door meer gebruikers) nodig.

Beheer voordeel is b.v. dat je een browser in een een aparte not persistente (hoe heet dat..) citrix sessie kunt hangen en vanuit de browser kun je niks meer besmetten. Maar daarvoor hoef je niet eens heel je organisatie in 1x op citrix te hangen.

HSDPA werking hangt uiteraard van je applicaties af. Maar een text document bewerken in de trein via HDSPA.... Ik vraag het me af.

Beveiliging: Ik kan me zo voorstellen dat er een paar kleine stukjes in je organisatie zijn die hun data niet centraal willen zien. ( OR, Directie, vastgoed)

Over HSDPA, ik heb een maand of wat geleden in de trein van Amsterdam naar Brussel van Amsterdam tot Roosendaal gewerkt. Op wat tunnels na (geen of slechts GPRS) had ik overal een voldoende verbinding om mijn VPN met daarover een RDP sessie goed te kunnen gebruiken. Dit was met een Lenovo T61 laptop en vodafone UMTS.

JPS schreef op zondag 06 juli 2008 @ 23:05:
[...]
"Slechts GPRS": als ik het goed heb begrepen vraag Citrix verkeer gemiddeld 15 kbps, dat zou toch goed over GPRS moeten gaan?

En is het zo dat als de verbinding even wegvalt je ook gelijk weer moet inloggen?

Als Session Reliability aanstaat (en dat is standaard zo), dan mag met de standaard instelling de verbinding 180 seconden "weg zijn" voordat een sessie disconnect. Keystrokes ed die in de periode zonder verbinding worden ingevoerd op de client, worden na het herstellen van de verbinding alsnog naar de server verstuurd

Wat doe je met de pakketten die niet onder Citrix draaien? Er zijn nog al wat exotische pakketjes op de markt.

JPS schreef op zondag 06 juli 2008 @ 23:05:
[...]


"Slechts GPRS": als ik het goed heb begrepen vraag Citrix verkeer gemiddeld 15 kbps, dat zou toch goed over GPRS moeten gaan?

En is het zo dat als de verbinding even wegvalt je ook gelijk weer moet inloggen?

JA, je kan via GPRS redelijk met Citrix werken.
Verwacht geen mega snelheden, maar het is "werkbaar".
Sinds kort heb ik een UMTS/HSDPA-kaart... tja... als ik die dekking heb gaat het als een speer.

Ik zag dat er al werd gesproken over "rondslingerende USB-sticks"...
Maar je hebt wel meer als alleen USB om je zorgen over te maken.
Wat dacht je van lokale printer- / RS-232- / LAN- (ja, sommige hebben 2 poorten) / eSATA-poorten?
Of het disabelen van CD/DVD- (writers?!?) / floppy-drives kan vaak ook wenselijk zijn!
Zelf gebruik ik hier Sanctuary Device Control voor.

Falcon schreef op maandag 07 juli 2008 @ 08:43:
Wat doe je met de pakketten die niet onder Citrix draaien? Er zijn nog al wat exotische pakketjes op de markt.

Leverancier nabellen of het toch op de één of andere manier op Citrix kunnen draaien. En anders op zoek gaan naar alternatieven.

Zelf hebben wij 2 software pakketten die niet onder Citrix aan de praat te krijgen zijn. Hiervoor hebben wij dus een fat-cliënt op die locaties geplaatst waarmee men er dan alsnog mee aan de slag kan. Op deze PC's (die compleet afgeschermd zijn) staat alleen dit pakket en staat er een Citrix cliënt geïnstalleerd.

JPS schreef op maandag 07 juli 2008 @ 09:42:
[...]
Overigens zullen de thin clients en laptops zo kaal mogelijk worden geleverd. En wat heb je aan eSata en extra LAN poorten als alleen een Citrix client kan draaien?

Op zich is dat niet zo'n probleem.
Alleen het aftimmeren van de security zal een hoop werk kosten.
Je kan dan laptops en thin clients wel "zo kaal mogelijk" willen hebben, maar als je aan een bepaalde standaard zit, zal je ook moeten accepteren dat er nu eenmaal meer poorten op zitten dat je zelf nodig zal hebben.
Toevallig heb ik een laptop met een eSATA poort (niet dat ik die nodig heb) en dan zal je er toch ook alles aan moeten doen om alle poorten onder controle te moeten houden.
En weet jij 100% zeker dat er niet 1 fat client op je netwerk zal komen?
Zodra je al een laptop er aan hebt hangen zal je de boel gewoon zwaar moeten aftimmeren.
En een laptop degraderen tot thin client lijkt mij geen oplossing.
(hoewel HP dat aardig gelukt lijkt )
Hoe wil je de mensen anders met hun laptop laten werken zonder dat ze daarbij een verbinding met kantoor nodig hebben?
(bijv. mensen die vanuit huis werken en in word hun documenten willen maken)
Op zich lijkt het een mooi systeem te zijn met die laptops van HP, maar je moet goed kijken naar wat de behoefte bij de gebruikers is.
Een vertegenwoordiger die onderweg is en even snel zijn mail wil controleren zit denk ik hier niet echt op te wachten.
Wat als deze vertegenwoordiger bij een klant zit.... "Euhhhh... ja ik heb de info wel, maar die moet ik dan even per mail doorsturen omdat ik het niet via mijn laptop op stick kan zetten" (oeps, en toen was er een mailgateway die de attachements niet wil doorlaten)
Je kan ze natuurlijk altijd verplichten om dan maar die verbinding met kantoor te maken, maar dan wil ik je nog wel eens over 6 maanden horen als de eerste rekeningen binnen zijn en de kosten dan eenmaal inzichtelijk zijn.
Je GPRS/UMTS/HSDPA dekking is ook niet overal 100%
Zeker niet wanneer je in gebouwen cq. ondergronds zit.
Om een voorbeeld te geven, ik heb zelf een aantal van die lokaties waar ik regelmatig kom, waarvan 1 net beneden straatnivo.... Bereikbaarheid NUL.
Nu zal dat niet gelijk voor 30% van je gebruikers op van toepassing zijn, maar het zijn wel aspecten waar je rekening mee moet houden. (zeker met ~500 laptopgebruikers)

Ik zie het vaak genoeg gebeuren. Management wil een 80-20 verhouding hebben (80% thin-clients en 20% fat-clients), en voor ze 1 jaar verder zijn is er uitzondering op uitzondering.
Met als resultaat 20-80 verhouding.

Even over UMTS/HSDPA, je wil je wireless gebruikers geen full-blown internet toegang geven. Wat dan gaan ze allemaal youtube en nos-mobiel kijken op jou kosten.

Je kan bij KPN of Vodafone private APN's afnemen, waarbij al je gebruikers in een prive-'wolkje' komen. Al het verkeer in dit wolkje word waar je maar wilt middels een epacity-VPN afgeleverd. Je kan zelf radius en DHCP doen naar je handhelds en al het verkeer word via je centrale infra geroute, ook internetverkeer dus veel meer controle.

JPS schreef op dinsdag 08 juli 2008 @ 20:57:
Goede suggestie, maar dat wordt al sterk gereguleerd. Streaming media is al (bijna niet) mogelijk.

Dan heb je altijd nog het risico dat men een prive laptop heeft - waar men dan vervolgens de UMTS/HSDPA kaart in prikt en alle pr0n etc. de hele prive tijd binnentrekt. Het is dan geen security issue meer - maar wel eentje voor de finance afdeling.

JPS schreef op vrijdag 04 juli 2008 @ 13:02:
Ik ben aan het nadenken over een Citrix architectuur vanuit het perspectief van beveiliging. In concept is naar mijn beleving een volledig thin architectuur te bedenken waar vanuit security bezien de risico's (tov de meeste 'fat' architecturen) minimaal zijn. Het uitgangspunt is dat er helemaal geen lokale data is, dus behalve de clients zijn ook de laptops echt 'thin'. Zie bijvoorbeeld deze van HP

Graag zou ik in dit topic mijn visie willen geven en van gedachten willen wisselen over de haken en ogen en dan met name voor de mobiele gebruikers.

Kenmerken organisatie
* grote ICT omgeving ~75 locaties in Nederland, ~2500werkplekken
* deel mobiele gebruikers (~500 laptops)
* centraal redundant rekencentrum

Visie
Naast diverse beheervoordelen (centraal) en kostenreductie van hardware lijkt mij een Citrix-omgeving waar in principe alles centraal staat ook vanuit security bezien optimaal. Er is bijvoorbeeld geen laptop encryptie meer nodig en bij diefstal/verlies/defecten kan een gebruiker eenvoudig met een ander thin laptopje verder. De laptop hoeft immers niet te worden ingericht per individu. Hiermee is ook de recovery tijd voor een gebruiker tot een minimum beperkt.

De achilleshiel in een volkomen thin ontwerp is de connectiviteit. Zonder verbinding kan immers helemaal niet meer op een client of laptop worden gewerkt. Dit betekent dat naar de belangrijke locaties redundante verbindingen moeten komen te liggen om de netwerkbeschikbaarheid zo hoog mogelijk te hebben. Voor de thin laptops is connectiviteit te maximaliseren door ze (naast de ethernetaansluiting) te voorzien van Wifi en HSDPA.

In dit ontwerp is de gedachte dat een laptop met ieder toegankelijk AP of bedraad netwerk (thuis of onderweg) kan verbinden zonder vorm van versleuteling (of indien nodig met) en zelfs een rogue AP (of ander niet-vertrouwd bedraad netwerk) zal geen risico vormen omdat het Citrix-verkeer toch versleuteld is. Laptopgebruikers authenticeren 2-factor, dus hebben naast hun wachtwoord nog een challenge-response token.

Discussiepunten
1) welke kanntekeningen zijn te plaatsen in mijn beschreven volkomen thin ontwerp?
2) is verbinden met onbetrouwbare AP's/netwerken ook echt zonder risico?
3) Hoe werkt HSDPA onderweg, is de dekking goed en valt bijvoorbeeld ook goed in de trein te werken?
4) ...

Graag hoor ik of mijn gedachten enig hout snijden en vooral, welke kritische kanttekeningen zijn te plaatsen.

Op 2 en 3 kan ik weinig zinnigs zeggen behalve dat je nooit een 100% garantie hebt.

1 lijkt me prima, maar gebruik wel iets als Appsense of RES Powerfuse om je systeem dicht te metselen en integreer de toegang met een Citrix Access Gateway (advanced ed.).

Verder: Hou rekening met het beheer van je thinclients. Ik zit nu in een bedrijf waar men voor mijn komst lekker goedkope thin clients kocht zonder goed werkende management software. Dus zit ik in de geweldige situatie dat elke verandering op een TC (VXL Itona, pure bagger.) lokaal moet worden uitgevoerd. Dan is je beheervoordeel wel weg. Hopelijk kan ik die rotzooi binnenkort vervangen, hoewel de projectleidende idioot van toen de directie wist te vertellen dat die krengen wel 6 jaar mee zouden gaan.

HP gebruikt Altiris als management tool. Mocht je die infrastructuur al hebben kan het een goede keus zijn. Anders moet je dat ook nog gaan opbouwen, wat niet echt simpel is.

Ik test op dit moment thin clients van Igel. De management software die zij leveren is een verademing vergeleken bij de troep van VXL.