Toon posts:

Citrix NFUSE security checklist

Pagina: 1
Acties:

vrijdag 30 juli 2004 22:12

Acties:

Verwijderd

Topicstarter
Misschien zie ik wel iets over het hoofd met het maken van mijn security checklist maar ik denk dat ik het redelijk in orde hebt. Kunnen jullie er gaten in schieten?

Situatie: Citrix Metaframe XP feature release 2 (en zooi patches), windows 2000 met IIS (en alle laatste critical patches (ook de gewone), Nfuse Classic 1.7.

1. user connecten via poort 443 naar SSL versleutelde (certificaat 128 bit in huis gemaakt) NFUSE pagina (IIS server).
2. User klopt naam, wachtwoord en domein in
3. Deze info wordt versleuteld doorgestuurd via de SSL verbinding naar de IIS server (waarop ook Nfuse en Citrix is geinstalleerd)
4. Citrix server geeft een lijst van beschikbare applicaties weer
5. User start applicatie op, alle applicaties vereisen 128 bit encryptie
6. applicatie wordt door 1494 poort gestart door een gat te maken in firewall (welke dus naar de IIS en Nfuse/Citrix server wijst.

klaar.

Nu heb ik aardig wat gelezen, er kan gebruik worden gemaakt van een CSG, welke ervoor zorgt dat al het verkeer middels SSL wordt versleuteld. Is dat een voordeel? Is de encryptie van Citrix niet voldoende? Ik snap het voordeel van 1 gat minder in de firewall, maar that's it? Of moet het liggen aan de SSL encryptie?

Zijn er hier dingen waar ik absoluut niet aan gedacht hebt? Zijn er bijvoorbeeld bekende gaten in Citrix waarmee hackers middels poort 1494 en enkele speciale IP pakketjes toegang tot de server kunnen verkrijgen? Is het aan te raden om bijvoorbeeld Citrix default op een andere poort te laten draaien? Is het verstandig om in de firewall aan te geven welke bron ip adressen (dns naam) wel erdoorheen mogen?

Hoe richten de experts het in?

vrijdag 30 juli 2004 22:19

Acties:
  • RupS
  • Registratie: Februari 2001
  • Laatst online: 22-01 12:46

RupS

Afhankelijk van hoe belangrijk het netwerk is wat er achter ligt zou je het natuurlijk nog veel dichter kunnen maken met behulp van een token/digitizer achtig inlog systeem en dat voor je Nfuse login pagina te zetten.

Je zou ook nog een login pagina voor de Nfuse kunnen zetten waar mensen username en wacthwoord moeten gebruiken dat uitgegeven is (random passes oid). Het grootste "gat" hier lijkt me het feit dat men (gebruikers) vaak makkelijke wachtwoorden kiezen. Dit kun je afvangen met 1 van deze opties.

Verder is al je verkeer encrypted aangezien het over een SSL verbinding gaat, dus is het veel lastiger dit te ontcijferen (lees: praktisch onhaalbaar)
Je beveiliging an sich is wel veilig, feit blijft echter dat kwaadwillenden maar 1 stap/muur hoeven te doorbreken, voordat ze binnen zijn.

vrijdag 30 juli 2004 22:25

Acties:
  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 05:49

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Het voordeel van CSG is:

- alle verkeer loopt via poort 80 en 443 (SSL). Er is dus altijd een SSL tunnel aanwezig tussen client en CSG, ofwel geheel secure
- aangezien het verkeer over SSL gaat, hoef je bij de client geen rare fratsen uit te halen met poorten open zetten. Bij bedrijven staat 1494 meestal niet open op een firewall, 80 en 443 wel.
- de standaard Citrix encryptie is slechts heel licht. SSL is een stuk sterker waarmee je je dus verzekerd van meer veiligheid.
- Een CSG geeft clients een 1-malig ticket van een speciale Citrix ticket server. Hiermee wordt gegarandeerd dat de client een valide client is, en dat niet iemand zonder ticket via een achterdeur kan proberen een applicatie te starten. Zeer belangrijk dus.
- met CSG heb je een extra buffer in je DMZ tussen client en Citrix farm. Zonder CSG gaan je clients direct naar je Citrix farm, wat zeer ongewenst kan zijn ivm beveiliging. Je zit dan tenslotten op een domein server. Een CSG server is geen lid van het domein en dus minder gevoelig voor eventuele hacks.

Trouwens, je verhaal klopt niet, want met Web Interface (voorheen NFuse ;) ) heb je helemaal geen SSL beveiligde pagina's. Die heb je alleen met CSG. Je inlog is dan wel SSL, maar je ICA verkeer NIET !!

Als expert richt ik het altijd in met CSG. Mijn ultieme setup is:

- Web Interface (in DMZ)
- Citrix Secure Gateway (in DMZ, geheel afgeschermd o.a. met IIS Lockdown e.d.)
- Secure Ticket Authority Server (in DMZ2)
- RSA Secure ID (in LAN)

Probeer dan nog maar eens binnen te komen of de boel te hacken of te ontcijferen. :)

Misschien toch maar eens een cursus volgen? ;)

[ Voor 65% gewijzigd door Microkid op 30-07-2004 22:43 ]

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

zaterdag 31 juli 2004 00:31

Acties:

Verwijderd

Topicstarter
Reply op Rups: wachtwoorden blijven altijd een issue.. Tokens kunnen hierbij wel helpen ja.

reply op MicroKid: Op je reactie dat mijn verkeer niet SSL gecodeerd is, dat klopt, alleen de login (welke toch via de IIS loopt) is dan gecodeerd. het ICA verkeer zelf heb ik zo ingesteld dat het 128 bit encrypted (verplicht) is. Dat is toch niet zo beroerd? Lijkt me aardig wat effort kosten om dat te kraken.

Over de cursus, misschien wel een aardig idee.. Al weet ik niet of het structureel meer toevoegd dan een stapeltje dikke boeken en opgedane ervaring.

Verder zie ik wel het voordeel van een 2 traps raket in de vorm van een CSG, maar vraag me soms af of het niet een beetje overkill is.

zaterdag 31 juli 2004 10:28

Acties:
  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 05:49

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Verwijderd schreef op 31 juli 2004 @ 00:31:
reply op MicroKid: Op je reactie dat mijn verkeer niet SSL gecodeerd is, dat klopt, alleen de login (welke toch via de IIS loopt) is dan gecodeerd. het ICA verkeer zelf heb ik zo ingesteld dat het 128 bit encrypted (verplicht) is. Dat is toch niet zo beroerd? Lijkt me aardig wat effort kosten om dat te kraken.
Je vergeet alleen dat als je het ICA verkeer door de Citrix server laat encrypten dit ten koste gaat van je performance. Ik heb ook wel vaker encryptie toegepast, en het werd er allemaal niet sneller op. Die Citrix server heeft wel wat beters te doen dan netverwerkeer te encrypten. Vandaar dat een dedicated doos (CGS) die alles via SSL encrypt veel sneller zal werken. Zeker als je er gewoon 2x3Ghz Xeon's in gooit. :) En die SSL is trouwens 1024 bit encrypted, niet 128 bit zoals ICA.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

zaterdag 31 juli 2004 11:14

Acties:
  • Firefox
  • Registratie: Juni 1999
  • Laatst online: 08-09-2024

Firefox

Een Vurig Vosje

Bijkomend voordeel van een CSG is dat je maar 1 ip naar de buiten kant hebt, en toch je hele farm kan aanspreken...
Als je het rechtstreeks speelt moet elke citrix server in de farm zijn eigen alternate IP op de firewall krijgen.... en bijkomend voor al die IP's een unieke NAT translatie naarbinnen toe maken... is niet fijn. MAar dat begint pas echt te tellen als een een heleboel Citrix boxen in je farm hebt.

Better to have loved and lost then never loved at all... yeah right.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq