Sadržaj prezentacije

• • • •

Ukratko o Datateku i Citrix rešenjima Citrix NetScaler Citrix Application Firewall Citrix Access Gateway

o Datatek-u

• • • • • • Ponuda kvalitetnih i inovativnih IT rešenja Jedini CITRIX Gold Solution Advisor partner u regionu Jedini Microsoft partner sa kompetencijom za virtuelizaciju Saradnja sa klijentima motivisana njihovim realnim IT potrebama i problemima Usluge: održavanje, konsolidacija, projektovanje Mislimo zeleno

Datatek partneri

Značajniji Datatek korisnici

Citrix iskustva

• • Virtuelizacija desktopa: Virtuelizacija aplikacija: • Virtuelizacija servera: Microsoft Sinergija 09, 10 Delta Holding Banca Intesa AD Beograd Dunav osiguranje Elektrodistribucija Beograd Mitsides Point AD Phoenix Pharma Nacionalna služba za zapošljavanje Vodovod Pančevo

CITRIX rešenja NetScaler Application Firewall Access Gateway

Poslovni izazovi

•

Povećanje radne snage na globalnom nivou

•

Potreba da se uradi više uz manja ulaganja

•

Sve više poslovnih procesa na WEBu

•

Performanse, dostupnost i sigurnost su postali kritični za biznis

Web Apps sledeće generacije: bogate, složene, zahtevne

Content Sharing Team Blogs Wikis Team Calendar

Microsoft SharePoint 2007

Citrix® NetScaler

•

Povećava iskorišćenost web servera za 60%

•

Eliminiše zastoj aplikacija

•

Poboljšava performanse 5x

•

Blokira 100% web napada

Advanced web application delivery and load balancer

Rešenje za sisteme svih veličina

0.5 Gbps MPX 21500 50 Gbps MPX 19500 MPX 17500 35 Gbps 20 Gbps MPX 15500 MPX 12500 15 Gbps MPX 10500 10 Gbps MPX 5500 0.5 Gbps MPX 7500 MPX 9500 3 Gbps 1 Gbps 6 Gbps

"Pay As You Grow" princip

100Gb ps 40Gbp s 20Gbp s 10Gbp s 1Gb ps

SMB (ISV) ENTERPRISE SERVICE PROVIDER/TELCO/CLOUD + INTERNET CENTRIC MPX 21500 MPX 50Gb 19500 35Gb MPX 17500 20Gb MPX 15500 15Gb MPX 12500 10 Gb MPX 10500 6 Gb MPX 7500 1Gb MPX550 0 500Mb MPX 9500 3Gb 1 2 3 10 Applications 100’s Apps / Multi-tenancy

Trusted by Leading Enterprises and Web Properties

Modeli NetScalera

Model Portovi 5500

4x 10/100/1000 BASE-T

HTTP requests/ sec System Throughput (Gbps) SSL transactions/ sec SSL throughput, (Gbps)

50,000 0.5

5,000 0.5

7500

8x 10/100/1000 BASE-T 100,000 1.0

10,000 1.0

VPX

Potreban server do 100,000 do 3.0

do 500 do 1.0

NetScaler je uređaj za koji nije potrebno kupovati licence

Citrix® Application firewall

•

Rešenje za sveobuhvatnu sigurnost aplikacija koje blokira gotovo sve poznate i mnoge nepoznate vidove napada

Citrix® Access Gateway

• • •

Prilagodljiv SSL VPN pristup mrežnim resursima Siguran pristup aplikacijama Udaljeni pristup za fajlove, email, intranet site-ove

Citrix NetScaler

Citrix NetScaler

• • • Multifunkcionalni uređaj Napredne networking mogućnosti Napredne mogućnosti za optimizaciju web servisa • Dodatni moduli: – Access Gateway – SSL VPN – Application firewall (IPS/IDS)

Citrix NetScaler

• • • • Operativni sistem: Modifikovani FreeBSD 6.2 UNIX Custom mrežni stek optimizovan za veliki broj konekcija NetScaler firmware je smešten na compact flash karticu Interni hard disk se koristi za smeštaj ostatka operativnog sistema + za keširanje i slično

Menadžment - CLI

• • SSH pristup, ili serijski port Podrazumevani login: nsroot/nsroot

Menadžment - GUI

• • HTTP/HTTPS interfejs sa Java apletima Postoji i offline konfigurator, takođe na Java platformi

Idealno pozicioniranje

• • Ispred farme web servera, a iza rutera/firewall-a NetScaler i sam podržava mnoge ruter/firewall mogućnosti, ali mu to nije primarna uloga

Citrix NetScaler - Networking

L2 mogućnosti

• • • • • U fabričkoj konfiguraciji, NetScaler predstavlja L2-bridge Implementirana je potpuna podrška za 802.1q VLAN-ove – – Klasični (access) portovi Tagovani (trunk) portovi Moguća je agregacija više fizičkih portova u jedan logički pomoću LACP protokola BridgeGroups – jednostavan način za „sastavljanje“ više VLAN ova VMAC – mogućnost deljenja iste MAC adrese između 2 uređaja u High Availability konfiguracijama

L3 mogućnosti

• Ukoliko konfigurišemo više VLAN-ova, NetScaler može (mada ne mora) da rutira saobraćaj između njih, tj. postaje L3 switch • Pored ovoga, postoji i podrška za: – – – – Statičke rute RIP, OSPF i BGP protokole rutiranja Policy Based Routing (PBR) Mogućnost monitoringa ruta i dinamičkog menjanja njihove metrike – NAT u 2 smera, RNAT (source) i INAT (destination)

Firewall mogućnosti

• • • L2 firewall – – – Filtriranje po MAC adresama Filtriranje po VLAN tagovima Logovanje L3/L4 firewall – Filtriranje po IP protokolima (ESP, AH, GRE, ICMP...) – Filtriranje po TCP/UDP portovima – – Filtriranje po tipu ICMP poruka Logovanje L7 firewall – Application firewall (detaljno opisan kasnije)

IPv6

• • Javne IPv4 adrese će ubrzo biti potpuno potrošene !

Citrix NetScaler ima potpunu podršku za IPv6 protokol

DNS

• • • • Citrix NetScaler poseduje integrisani, potpuno funkcionalan DNS server baziran na BIND-u Neka ograničenja ipak postoje, npr. ne možemo raditi transfer zona, samo statički unosi Takođe, NetScaler možemo koristiti i kao DNS forwarder ka već postojećem DNS serveru Podrška za IPv6 – AAAA rekordi

Optimizacija Web servisa

Optimizacija web servisa

• • • • • • • • • Load balancing Global Site Load Balancing – GSLB Content switching SSL offload HTTP compression HTML injection Responder Rewrite Cache redirection/Integrated caching

Load balancing

Load balancing

• • Problem: – 1 fizički HTTP server ne može da opsluži veliki broj dolaznih zahteva Rešenje: – Raspodeliti zahteve na više fizičkih servera sa identičnim servisom i sadržajem • NetScaler omogućava kreiranje jednog „virtualnog“ HTTP servera sa jedinstvenom IP adresom, koji služi kao front-end za servere između kojih balansiramo opterećenje

Load balancing

• – – – – Algoritmi za balansiranje saobraćaja između servera: – – – – Round-robin Least connection Least response time URL hash Source IP hash Destination IP hash Domain name hash ...još mnogi drugi

Load balancing

• • • Problem: – Kako balansirati u slučaju dinamičke web aplikacije, tj. kada postoji klijentska sesija ?

Ukoliko bi zahtevi istog klijenta završavali na različitim serverima, sesija bi stalno „pucala“ Rešenje: Persistence – Sesija sa klijentom se identifikuje na neki način, i svi budući zahtevi tog klijenta završavaju na istom serveru – – Mnoge metode: IP adrese, SSL identifikacija, cookie insert U praksi se najčešće koristi cookie insert, najsigurniji metod

Load balancing

• • • Za svaki od servisa koji pripadaju virtualnom serveru se mogu definisati monitori koji prate njegovo stanje Tipovi monitora: arp, icmp, tcp, udp, http, https...

Na ovaj način NetScaler može brzo detektovati otkaz/oporavak servisa i primeniti odgovarajuće mere (izbacivanje/dodavanje servisa u load balancing, preusmeravanje na backup server, itd.)

GSLB

GSLB

• • • • Load Balancing pretpostavlja da su svi serveri (i NetScaler) na jednoj lokaciji Problem: Šta ako imamo isti servis na više fizičkih lokacija?

Primer: – – Data centri u Nišu, Novom Sadu i Beogradu, sa identičnim servisima Potrebno je da klijent pristupa servisu kroz jedinstveni URL http://www.servis.com

, transparentno, i da bude upućen u „najbliži“ data centar – U slučaju da neki centar otkaže, ostali treba da preuzmu njegovu ulogu dok se problem ne otkloni NetScaler ovo omogućava kroz Global Site Load Balancing (GSLB) funkcionalnost

GSLB

• Kako ovo funkcioniše?

– – U svakom data centru se nalazi po jedan NetScaler Svaki NetScaler je konfigurisan kao autoritativni DNS za zonu kojoj pripada servis (u našem primeru, servis.com) – Kada klijent želi da otvori URL http://www.servis.com

, on najpre šalje DNS upit za www.servis.com

nekom od NetScaler-a (prvom dostupnom, svi su ravnopravni) – NetScaler-i se međusobno „dogovaraju“ koji će opslužiti klijenta – Klijent dobija adresu koja pripada „najbližem“ data centru kao odgovor na svoj DNS upit, i potom prilazi servisima tog data centra

GSLB

GSLB

• • • • • Pitanje: Šta to znači „najbliži“ data centar?

Fizička udaljenost nije bitna Svaki od data centara izračunava metriku na osnovu 3 parametra: – – Opterećenje data centra Podaci o mreži: RTT (Round Trip Time) između lokalnog DNS-a klijenta i svakog od data centara – Persistence: Ista situacija kao i kod Load Balancing-a Za razmenu ovih podataka se koristi Metric Exchange Protocol (MEP) MEP koristi TCP port 3011; Mora biti otvoren!

GSLB

• • • • Pored MEP-a, za određivanje metrike je moguće koristiti i statičke baze podataka koje vezuju IP adresu i geografsku lokaciju Postoji mogućnost importovanja ovih baza u nekoliko formata, kao i pojedinačnih ručnih unosa Upotrebljivost zavisi od geografskog rasporeda centara, ako su oni geografski blizu, bolje je koristiti MEP Ukoliko jedan data centar postane preopterećen, višak zahteva se može usmeriti ka ostalima i pored toga što nemaju bolju metriku (Spillover)

GSLB

• • • • • GSLB se vrši isključivo između virtualnih servera, dakle u svakom data centru mora biti konfigurisan Load Balancing Ako imamo samo jednu instancu servisa na lokaciji, možemo napraviti trivijalni load-balancing sa samo jednim back-end serverom Kao i kod Load Balancing-a, u slučaju otkaza data centra svi zahtevi se preusmeravaju na ostale Slaba tačka: DNS cache!

Klijenti koji su koristili data centar koji je otkazao neće biti preusmereni na ostale data centre do novog DNS zahteva!

PKI mogućnosti

NetScaler - PKI

• Citrix NetScaler poseduje kompletne Certificate Authority mogućnosti – – – – – – – Generisanje RSA i DSA ključeva Generisanje zahteva za izdavanje digitalnih sertifikata Potpisivanje zahteva i izdavanje digitalnih sertifikata Import/export sertifikata u različitim formatima Kreiranje Diffie/Hellman ključeva Podrška za 34 različita algoritma za šifrovanje i hash-ovanje Provera povučenih sertifikata (CRL)

NetScaler - PKI

• Zašto nam je sve ovo potrebno?

• • Autentifikacija servera i klijenata – Uspostavljanje lanaca poverenja sa drugim serverima/servisima – – Klijent može potvrditi kome pripada servis kome on pristupa Autentifikacija klijenata koji pristupaju web servisima (npr. smart kartice! ) – Autentifikacija VPN klijenata Kriptovani servisi (HTTPS, SSL/TLS itd.) – SSL Offload (detaljnije u nastavku)

NetScaler - PKI

• Self-Signed sertifikati vs. Trusted sertifikati • • Self-Signed: – NetScaler sam generiše root sertifikat, i koristi ga za izdavanje ostalih sertifikata – Da bi klijenti pristupali zaštićenim servisima, root sertifikat se mora ručno instalirati na svaku klijentsku mašinu Trusted sertifikati – – – Root sertifikat je izdat od strane neke zvanične ustanove Instalacija na klijentskoj strani nije potrebna Ovo košta!

SSL offload

SSL offload

• Želimo da zaštitimo naše HTTP servise tako što ćemo kriptovati saobraćaj i uvesti proveru serverskog (a možda i klijentskog) digitalnog sertifikata za svaku sesiju, tj. da uvedemo HTTPS.

• Problemi: – – Kripto operacije su procesorski zahtevne Potrebna je rekonfiguracija svakog web servera – Kako izvesti load balancing? Ovde je perzistencija sesije OBAVEZNA!

SSL offload

• • • Rešenje: SSL offload virtual server Esencijalno, Load Balancing virtuelni server sa HTTPS front end-om Back-end može biti HTTP (poželjno) ili HTTPS • • Sve kripto operacije i briga o sertifikatima se prebacuju na NetScaler Ovo nije problem, jer NetScaler ima optimizovani crypto engine, a jači modeli i hardverske kartice za SSL akceleraciju

SSL offload

• • • • Prednosti: Mnogo lakše održavanje, centralizovana briga o enkripciji i autentifikaciji servera/klijenata Load balancing sa svim već navedenim mogućnostima: – – – – Različiti balancing algoritmi Monitori Persistence Spillover – GSLB Jednostavna implementacija cert/smartcard autentifikacije za klijente koji pristupaju servisima

Pauza!

Content switching

Content switching

• • • • Context switching predstavlja usmeravanje klijenta ka odgovarajućem sadržaju u zavisnosti od parametara u samom klijentskom zahtevu Primer1: Web stranica sa video sadržajem: HTML stoji na jednom serveru, video na drugom, a klijent sve vidi kao jednu stranicu Primer2: Različite stranice za različite klijente: Svi klijenti otvaraju isti URL, ali se IE klijentima otvara jedna stranica, Mozilla klijentima druga, mobilnim uređajima treća...

Primer3: Preusmeravanje klijenta na odgovarajuću stranicu u zavisnosti od jezika koji klijent koristi

Content switching

• • • • Potrebno je da konfigurišemo po jedan virtualni server za svaki back-end server (ili svaku grupu back-end servera, ukoliko istovremeno koristimo Load Balancing) Zatim kreiramo CS server koji služi kao front end za ove virtualne servere Na CS serveru se definišu polise oblika: – – Ukoliko zahtev klijenta X1 ispunjava uslov Y1, pošalji ga na server Z1 Ukoliko zahtev klijenta X1 ispunjava uslov Y2, pošalji ga na server Z2 – ...

Rad CS servera je transparentan za klijente

Content switching

• Tipičan klijentski zahtev:

GET /index.php HTTP/1.1

Host: www.bsdserbia.org

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13

Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

• On predstavlja, zajedno sa mrežnim parametrima klijenta, izvor informacija za context switching

Content switching

• – – – – Primeri polisa: – – – – CLIENT.ETHER.SRCMAC.EQ("00:27:5E:32:BA:C7") CLIENT.IP.SRC.EQ("192.168.0.1") HTTP.REQ.HEADER("Accept-Language").CONTAINS("en-US") HTTP.REQ.HEADER("User-Agent").CONTAINS("Chrome") HTTP.REQ.HOSTNAME.SERVER.EQ("www.test.com") HTTP.REQ.HOSTNAME.PORT.EQ("8080") HTTP.REQ.URL.PATH.CONTAINS("/images/hires/") ...

• Polise pružaju izuzetnu fleksibilnost u pogledu kriterijuma odlučivanja

HTTP compression http://angdemo.citrix.com

HTTP compression

• • • • • Svaki Web server ima mogućnost kompresije sadržaja koji isporučuje, radi brže isporuke Kompresija najviše pomaže kod teksta, statičkog HTML-a, i sl. Međutim, ova kompresija troši procesorsko vreme, tako da njeno uključivanje na jako zauzetim web serverima može negativno uticati na performanse Nalik na SSL offload, Citrix NetScaler može na sebe preuzeti i kompresiju web sadržaja, pored enkripcije Prednosti: Rasterećenje servera i centralizovani menadžment HTTP kompresije

HTTP compression

• Kako ovo funkcioniše: – Klijent šalje HTTP zahtev: GET /encrypted-area HTTP/1.1 Host: www.example.com

...

Accept-Encoding: gzip, deflate ...

– U zahtevu su navedeni tipovi kompresije koje klijent podržava – Server odgovara komprimovanim sadržajem HTTP/1.1 200 OK ...

Content-Length: 438 Connection: close Content-Type: text/html; charset=UTF-8

Content-Encoding: gzip ...

HTTP compression

• • • • • NetScaler podržava 2 tipa kompresije: GZIP i DEFLATE – – DEFLATE – Klasičan metod kompresije, osnova svih ZIP kompresora GZIP – Enkapsulirani deflate kome su dodati metapodaci za oporavak od greške DEFLATE je brži, GZIP nudi lakši oporavak u slučaju greške Ne isplati se kompresovati sav saobraćaj (na primer, video i slike su gotovo sigurno već kompresovani) Za selekciju saobraćaja koji želimo da kompresujemo, koristimo polise Polise se vezuju za bilo koji virtualni server (LoadBalancing, SSL offload, Context switching...)

HTTP compression

• Parametri po kojima polise mogu vršiti selekciju: – – – – – Parametri klijenta (mrežni parametri, klijentski browser...) URL (samo deo sajta npr. /home/images ili po ekstenziji /*.txt, /*.html) MIME tip: text/html, application/msword...

Vreme (samo u određenim časovima...) Mnogi drugi...

HTML injection

HTML injection

• • • Omogućava ubacivanje proizvoljnog sadržaja u HTTP stranice koje se vraćaju klijentu Polise omogućavaju selekciju klijentskih zahteva po raznovrsnim kriterijumima: HTTP header opcije, URL, mrežni parametri...

Korisno za postavljanje HTTP header opcija, podešavanje stranica prema tipu browser-a, obaveštenja određenim korisnicima...

Responder

Responder

• • • Jednostavan modul koji omogućava NetScaler-u da pošalje predefinisan odgovor na određene HTTP zahteve koji stižu od klijenta Ovo je vrlo česta situacija. Primene: – Klijente treba obavestiti da neki resurs više nije dostupan i da je premešten – – Klijente treba obavestiti da pristup nekom delu servera nije dozvoljen „Under construction“ Pomoću NetScaler-a, ovakve poslove možemo centralizovati

Responder

• • • Druga namena respondera: – Slanje HTTP redirect poruka Preusmeravanje klijenata sa nepostojećih/pogrešnih stranica na prave stranice Primer: – – – Klijent otvara http://example.com

NetScaler šalje redirect poruku 301:https://example.com

Klijentski browser zatim sam otvara pravu stranicu: – https://example.com

Caching

Caching

• • • • NetScaler može da kešira sadržaj koji se šalje klijentima kao odgovor na njihove zahteve Polise definišu koji se saobraćaj kešira (po URL-u, mrežnim parametrima klijenta, itd...) Može se koristiti interni cache server (Integrated caching), ili eksterni cache server (Cache redirection) Različiti modovi rada (forward, reverse, transparent...)

High Availability

HA – visoka dostupnost

• • • • 2 Citrix NetScaler uređaja se mogu povezati tako da čine HA klaster Na ovaj način, oni pružaju otpornost na otkaz jednog od NetScaler-a za sve servise koje smo konfigurisali HA se u ovom slučaju vrši po active-passive modelu: – – – Jedan od uređaja je stalno aktivan, i pruža sve servise Drugi uređaj stoji u pripravnosti i proverava stanje prvog (heartbeat) Ukoliko aktivni uređaj otkaže, pasivni preuzima njegovu ulogu Mora se obratiti pažnja da HA mrežni link između 2 NetScalera bude pouzdan, inače možemo završiti u split-brain situaciji !!!

HA – visoka dostupnost

• • • Preduslovi: – – – – 2 uređaja Dedicated HA link između njih (preporučeno) root password mora biti identičan platforme i verzija softvera moraju biti identični Konfiguracija na uređajima se automatski sinhronizuje Za visoku dostupnost IP adresa na kojima se nalaze virtualni serveri se koriste virtualne MAC adrese, VMAC, koje se konfigurišu za svaki virtualni server

AAA - Application traffic

AAA - Application traffic

• • Pristup svakom od virtualnih servera se može kontrolisati pomoću AAA funkcija NetScaler-a AAA = Authentication, Authorization, Accounting • • • Autentifikacija: Provera identiteta korisnika Autorizacija: Definisanje prava kojima korisnik raspolaže u zavisnosti od grupe kojoj pripada Accounting: Praćenje korisničke sesije i logovanje svih korisničkih akcija

AAA - Application traffic

• • Autentifikacija: – – – Korisnik pokušava da pristupi virtualnom serveru Biva preusmeren na HTTPS stranicu za login Po uspešnom unošenju kredencijala, biva preusmeren na server kome je prvobitno hteo da pristupi Načini autentifikacije: – Lokalna (username/password) – RADIUS (eksterni RADIUS server) – – – – LDAP TACACS NT4 CERT (OpenLDAP, Active Directory...) (Cisco proprietary, nalik na RADIUS) (Windows domain, SAMBA) (digitalni sertifikati)

AAA - Application traffic

• Autorizacija: – – Definiše se skup polisa koje se primenjuju na određenog korisnika Polise mogu proveravati sve mrežne parametre klijenta i sve parametre iz klijentskog HTTP zahteva – Polise mogu zabraniti klijentu pristup delovima web servisa, definisati trajanje njegove sesije, period neaktivnosti posle koga biva isključen, dozvoliti pristup samo u određenom vremenskom intervalu, itd...

AAA - Application traffic

• Accounting: – – Sve akcije određenog klijenta mogu biti zabeležene Informacije mogu biti poslate na eksterni syslog server, ili čuvane lokalno na NetScaler-u • Pored ovoga, moguće je i modifikovati interfejs login stranice po želji i prilagoditi ga sopstvenim potrebama

Filtering

• • • Vrsta bazičnog L2-L7 firewall-a Može da aktivira DROP ili RESET konekcije ukoliko polisa označi klijenta kao nepoželjnog Širok spektar opcija za definisanje polise: – – – Mrežni parametri (L2-L4) Operativni sistem, verzija antivirusa...

Vremenski interval

SureConnect

• • • • Ova opcija omogućava pomoć klijentu ukoliko je servis koji je on zahtevao nedostupan Klijentu se može vratiti poruka o zauzetosti, ili progress bar NetScaler automatski pokušava rekonekciju sa serverom prema predefinisanim parametrima Ukoliko se server ne „oporavi“, klijent se može preusmeriti na alternativni server, ukoliko on postoji

Priority Queueing

• • Ova opcija omogućava davanje prioriteta zahtevima određenih klijenata u odnosu na ostale klijente Mogu se koristiti isti kriterijumi za izgradnju polise kao u slučaju Filtering opcije

HTTP DoS

• • • NetScaler ima mogućnost detekcije abnormalne količine zahteva za nekim HTTP servisom Detekcija se vrši putem analiziranja i upoređivanja podataka o klijentu dostupnih iz HTTP header-a, kao i mrežnih parametara klijenta Svi zahtevi koji stižu od sumnjivih klijenata bivaju odbačeni i ne prosleđuju se back-end serveru

Application Firewall

Application Firewall

• • • • • Napredni Layer7 firewall Ne bavi se mrežnim parametrima klijenta, već podacima koji teku između klijenta i web aplikacije IPS/IDS mogućnosti – biramo između pasivnog osmatranja i logovanja anomalija, ili definišemo akciju Pozitivni i negativni model detekcije anomalija – Pozitivni: „Uči“ kako izgleda „normalan“ saobraćaj, a potom reaguje na „nenormalan“ – Negativni: Predefinisani skup „potpisa“ poznatih napada, koji se može i ručno modifikovati

AF vas štiti od loše napisanih Web aplikacija !!!

AF– start URL

• • • • Može se definisati regularnim izrazom koji početni URL-ovi su dozvoljeni kada korisnik pristupa aplikaciji Druga opcija je da uključimo „learn“ mod i pustimo AF da sam snimi stanje Dobijeno stanje se može potom analizirati, ručno modifikovati, i pretočiti u pravila Primer:

^[^?]+[.](html?|shtml|js|gif|jpg|jpeg|png|swf|pif|pdf|css| csv)$

AF– deny URL

• • • • • • Ova opcija omogućava odbijanje predefinisanih tipova URL ova koji se koriste tokom uobičajenih napada Oni se definišu preko regularnih izraza Korisnik može dodavati svoje definicije Primeri:

[\/]etc[\/](passwd|group|hosts) ^[^?]*[.](cgi|pl|php|bat)([/?].*)?[|]

AF – Cookie consistency

• • Jedan od uobičajenih napada je modifikovanje cookie-a koji sadrži podatke o sesiji od strane korisnika, i prisvajanje tuđe sesije ili izmena „pravila igre“ na taj način AF upoređuje stanje svih cookie-a prilikom njihovog slanja korisniku i prilikom njihovog čitanja od strane servera, i na taj način sprečava ovakve napade

AF – buffer overflow, field formats

• • AF može detektovati sve buffer overflow napade koji se mogu pojaviti u samim URL zahtevima Primer: URL duži od 1024 karaktera, cookie veći od 4096 karaktera, HTTP header duži od 4096 karaktera...

• • AF može vršiti parsiranje i validaciju opsega i tipova podataka koji se nalaze u HTTP formama Na ovaj način možemo zaštititi loše napisane aplikacije od napada u periodu dok čekamo na patch

AF - SQL injection

• • • AF može zabraniti sve SQL upite ili delove upita koji se pojavljuju u URL-u Upiti koji su dozvoljeni, ukoliko postoje, mogu se ručno definisati Ovaj proces se može značajno olakšati potem learn opcije

AF – Cross Site Scripting

• • • Na isti način, AF može detektovati svaki pokušaj CSS napada analizom URL-a na ugrađene skriptove Skriptovi koji su dozvoljeni, ako postoje, mogu se ručno definisati Ovaj proces se može značajno olakšati potem learn opcije

AF - Credit Card check

• • • • • AF može detektovati sve brojeve kreditnih kartica koji se pojavljuju u saobraćaju između klijenta i servera Podržane kartice: American Express, Diners Club, Discover, JCB, MasterCard, Visa Web server nikad ne bi trebalo da vrati broj kartice klijentu Ukoliko se ovo detektuje, broj se može maskirati, ili se može aktivirati alarm Može se definisati broj dozvoljenih brojeva kartica po stranici

Alarmi

• • • Svi detektovani događaji se mogu logovati Konekcija prema malicioznim korisnicima se može blokirati Može im se prikazati strana sa porukom o grešci, koja se može upload-ovati na NetScaler, ili se može nalaziti na posebnom serveru

Citrix Access Gateway Enterprise

Osnovne osobine

• •

Modul NetScaler-a Omogućava:

i.

SSL VPN pristup mrežnim resursima (enterprise-class, policy based) ii. Secure pristup aplikacijama (XenApp rešenje) • iii. Remote access pristup za fajlove, shared network drive, email, intranet site-ove

Zaštita pristupa SSL sertifikatom

Polise pristupa

• Pre-authentication – čekiranje uslova na klijentskom uređaju za pristup login stranici • Authentification – čekiranje login parametara • Authorization – definišu koji mrežni resursi su dostupni korisnicima (grupama korisnika) koji se loguju na sistem • Session – definisanje karakteristika sesije (koji resursi su dostupni korisnicima koji se loguju na sistem)

Polise pristupa

Pre-authentification

• • • • • • Uslovi koje klijent mora da zadovolji su (security, aplikacije, fajlovi), da bi se startovao login prozor. Uslovi koji mogu da se definišu: Operativni sistem • Antivirus softver Service Packs • Peronal firewall Hotfixes • Anti spam Running services • Registry configuration Files

Polise pristupa

Auhtentication

• • • • • •

Načini autentifikacije

LOCAL LDAP RADIUS TACACS+ NTLM CERT (klijentski ssl sertifikat) Group extraction – formiranje različitih autorizacionih grupa (odgovaraju LDAP, RADIUS grupama) za ograničenje pristupa kroz session polise

Polise pristupa

Authorization

• • • • Definiše autorizovan pristup internim mrežnim resursima Polise se definišu na grupnom (LDAP,RADUS) ili korisničkom nivou Ukoliko se na globalnom nivou authorization acton postavi na DENY moraju da se definišu autorizacione polise Načini implementacije: access liste za interne konekcije restrikcije za web sajtove i web aplikacije

Polise pristupa

Session polise

• • • • • (1)Network configuration DNS Mapped IP Intranet IP Forced Timeout Forced Timeout Warning

Polise pristupa

Session polise

• • (2) Client experience Opcije koje mogu biti omogućene klijentu (korišćenjem plugin-a): Transfer files Konfigurisanje cag enterprise Opcije ukoliko je omogućena konfiguracija: General Profile (informacije: adresa VPN servera, split tunneling, lista intranet mreža, lokalna adresa, verzija softvera, mogućnost konfigurisanja: split tuleing, split dns, login procedura) Trace - pregled connection log-a Compression – prikaz informacija o kompresiji

Polise pristupa

Session polise

• • • • • • • • (2) Client experience Metode logovanja Client choices (sa plugin-om, bez plugin-a (kodovan url), logovanje na xenapp ) Client cleanup (cookie, client certificate, temp files, password, history) Single sign-on (web aplikacije) Split tunneling (ON,OFF,REVERSE) Login, logout script Client debug settings Split dns Local LAN access

Polise pristupa

Session polise

• • • (2) Client experience Dodela intranet adresa (zauzeće slobodnih, oslobođenje neaktivnih) user group virtual server global Intranet IP Pool: Free, Reclaim, Transfer Spillover: NOSPILLOVER, SPILLOVER,OFF (Korišćenje MIP ukoliko su definisane itranet adrese zauzete)

Polise pristupa

Session polise

• • • (3)Security Default authorization actions Client security Authorization groups

Polise

• • • •

Redosled izvršavanja polisa:

Global Virtual server Group User

+ prioritet

ICA proxy

• SSL proxy između klijenta i servera, klijent se ne loguje direktno na server koji pokreće XenApp (zaštita ICA konekcija)