El diseño de la seguridad en una plataforma XenApp
El diseño de la seguridad en una plataforma XenApp
La seguridad es algo que por defecto siempre estamos pensando, como proteger los
accesos,los datos, las validaciones y otro sin fín de elementos que estamos en
constante proceso de modificación y aseguramiento.
En las plataformas XenApp la seguridad pasa por una serie de elementos que pueden
ayudarnos a mejorarlas, como secure Gateway.
Citrix Secure gateway, es un punto de acceso para soluciones XenApp, incorpora
entre sus distintas funcionalidades, SSL, un punto de acceso, y está disponible en
Windows y Solaris.
Uno de los puntos que tenemos que tener en cuenta y presentes en cualquier proceso
de validación es que vamos a utilizar en este, este documento pretende ser una mini
guía a tener en cuenta y que puede ayudaros a saber que elementos pueden ser
necesarios.
En este caso tendríamos que tener en cuenta:
– Integración de Secure Gateway
– Redundancia de servidores
– Certificados
– Autenticación fuerte mediante (two-factor)
La redundancia estara establecida dependiendo siempre de los roles y las necesidades
de continuidad del servicio propiamente dicho, en estos aspectos podrá ser implementada
una solución de Cluster o similar, Secure Gateway elemina ciertos mecanismos de redundancia,
y elimina el punto de fallo, especialemnte cuando se depende de ciertos elementos.
El sistema de validación de doble factor, autenticación fuerte, podrá ser establecido,
mediante prodesos de validación como RSA SecurID, accediendo mediante un servidor RADIUS,
o en la propia integración con el directorio activo.
La arquitectura de una solución Secure Gateway podrá ser establecida siguiendo los siguiente
baremos o consultas.
si, necesitamos que usuarios externos accedan a las aplicaciones XenApp, entonces
implementaremos Secure Gateway o Access Gateway Advanced.
Si, los dispositivos que utilizamos no son Windows dependen de la DMZ el acceso, entonces
implementaremos Access Gateway Advanced o Secure Gateway for Solaris.
Si Secure Gateway is requerido en conjunto con Advanced Access Control, entonces implementaremos
Access Gateway Adcanced.
En el caso de los servidores de certificados, tendremos que tener en cuenta o basarnos en la
siguiente tabla.
Si nuestra organización utiliza un certificado de un tercero, entonces necesitaremos un
servidore de certificados.
Si la organización utiliza usuarios internos con una solución de certificados, entonces
tendremos que generar un root certificate para el dispositivo cliente.
Internamente se generan certificados o pueden ser generados para utilizarlos mediante el relay
de SSL que se utiliza con el Citrix XML communications.
En la planificación de un diseño Secure Gateway o la arquitectura del mismo, tendremos además que
tener en cuenta los siguientes puntos:
– Monitorización de la red
– Puertos del firewall
– La redundancia del firewall
– El proceso de seguridad de la red
en cuanto a los puertos del firewall, tendremos que tener en cuenta los siguientes de forma inicial,
puerto 443 para la red interna en la DMZ
Para una red segura en la DMZ, tendremosq ue tener en cuenta los puertos 443 y 80
Adicionalmente a nivel de firewall, serán necesarios los puertos 1494, en el caso de publicación de recursos
de XenApp y el 2598 en el caso de session reliability.
Otro de los aspectos a tener en cuenta, quedarán establecidos en el método del diseño del sistema de validación (password).
En este caso podríamos tener los siguientes elementos en cuenta para el disño del mismo,
– Entorno del usuario
– Local Store
– Central Store
– Definición de las aplicaciones
– Politicas a utilizar
– Configuración de usuarios
– Agentes (distribución)
– Conceptos avanzados en cuento a requerimientos
Si tenemos un entorno windows o novell intentaremos utilizar siempre estos entornos para las politicas de passwords.
Un Saludo,
Xavier Sánchez
http://www.ctxdom.com/citrix
MCP,CCA,CCEA,Citrix Online Certified,Citrix Access Esentials Certified
ICCC,ITIL Fundations Certified
Comentarios recientes