Seguridad y Control de Acceso en una instalación Citrix

TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Control de acceso Joaquín Herrero PintadoINSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA jherrero@mma.esPlan interadministrativo de formación contínua en el área de tecnologías

ContenidoControl de acceso en el conector ICAPolíticas CitrixPolíticas Directorio ActivoSeguridad en el cliente ICA

Distintos elementos contribuyen a que el sistema sea seguroControl de acceso en el conector ICA Securizar RDP para que solo lo usen administradores Securizar ICA para que no se puedan publicar escritorios Asignar temporizadores de desconexiónPolíticas Citrix Impedir conectar dispositivos de cliente Asignar ancho de banda a la conexión o a canales virtuales Impedir la instalación de drivers de impresiónPolíticas Directorio Activo Impedir el agujero de seguridad del diálogo "Abrir..." Conciliar políticas de usuario y políticas de máquinasSeguridad en el cliente ICA El cliente debe autorizar que la aplicación acceda a recursos de su PC

CONTROL DE ACCESO EN EL CONECTOR ICA

Conector ICAAcceso al configuradorEl conector ICA es el software que atiende la puerta TCP 1494, por donde llega el tráfico ICA al servidorDesde el CITRIX CONNECTION CONFIGURATOR podemos establecercondiciones para TODOS los clientes ICA, independientemente de cómo estépublicada la aplicación o de las preferencias del cliente.Pinchando el "martillo verde" de la barra de tareas Citrix, accedemos al configuradordesde donde podemos cambiar las caracteristicas del conector ICA

Conector ICAEdit connection: Advanced, Client Settings ICA Settings

Conector ICAAdvanced Connection Settings: logon control, temporizadores, impedir publicar escritorios, shadowing, etc

Conector ICAClient SettingsPodemos deshabilitar canales virtuales que NUNCA usaremos Ahorramos ancho de banda

Conector ICAICA Settings: ajustar ancho de banda consumido por el canal virtual del audio

POLITICAS CITRIX

Políticas CitrixMientras que lo que cambiemos en el conector ICA afecta a TODOS los usuariosque entren por la puerta ICA (1494), las restricciones que pongamos en las políticaslas podemos aplicar a grupos concretos de usuarios (o a todos, en las políticas haymás opciones que en el conector)Podemos definir restricciones de prácticamente todos los elementos de una conexión ICA: Ancho de banda general,Ancho de banda de un canal, Periféricos que se conectarán, Opciones de impresión

Políticas Citrix - AplicaciónUna vez definida la política podemos aplicarla siguiendo distintos criterios por dirección IP del cliente por nombre del cliente a todas las aplicaciones que publica un determinado servidor a todas las aplicaciones que inicie un determinado usuario

Ejemplo: politica para usar driver universal /1Autocrear solo la impresora por defecto del cliente No es obligatorio esto, se podrían conectar todas las impresoras del cliente, solo que todas usarán el mismo driver debido a esta política

Ejemplo: politica para usar driver universal /2No instalar drivers automáticamente

Ejemplo: politica para usar driver universal /3Usar solo driver universal Alternativa "light": usar driver universal solo si el driver de la impresora del cliente no está instalado

Ejemplo: politica para usar Uniprint /1Uniprint es un servicio de impresión SIN DRIVER EN EL SERVIDOR Genera un PDF que envía al cliente Al instalarlo, en los clientes conectados siempre aparece la impresora "Uniprint" Requiere un software instalado en todos los clientes que recibe el PDF y lo envía al driver local para que se imprima El usuario puede elegir por qué impresora quiere sacar el listado una vez que le llegue el PDF www.uniprint.net

Ejemplo: politica para usar Uniprint /2No autocreamos NINGUNA impresora del cliente: Uniprint siempre ofrece la suya,que es la que queremos utilizar.

Ejemplo: politica para usar Uniprint /3No se permite la instalación de drivers

POLITICAS DIRECTORIO ACTIVO

OU: Organizative UnitUna OU (Unidad de Organización) es... Un contenedor en el que se definen MAQUINAS o USUARIOS Puede ser "hija" de otra OU Puede ser "madre" de una o varias OUs El Directorio Activo es un arbol de OUs

POLÍTICAUna política es... Una configuración obligatoria o una restricción Puesta para todo lo que pertenezca a una determinada OU Está compuesta de COMPUTER SETTINGS USER SETTINGS

POLÍTICA DE USUARIO: definiciónLa política (conjunto de configuraciones o restricciones) de un usuario es la suma delas configuraciones o restricciones de las OUs a las que pertenezca el usuario jerárquicamente

POLÍTICA DE USUARIO: conflictosSi varios settings de una política entran en conflicto, se aplican los de la OU más "próxima" al usuario

POLÍTICA DE USUARIO: cortar la herenciaSe puede hacer que una OU no herede las políticas de las OU de las que depende

Políticas para servidores CitrixUna política que aplicada al PC del cliente tiene sentido puede no tener sentidoaplicada a un servidor Citrix para ese mismo usuario En el PC: usar proxy 192.168.0.1 En el Servidor Citrix: no usar proxy puede que desde la granja no queramos acceso a internet por motivos de seguridadSOLUCION Agrupar todos los servidores Citrix en una OU Cortar la herencia para esa OU Definir una política para esa OU que indique "no usar proxy"pero eso no va a funcionar... ¿por qué?

Políticas para servidores CitrixEl usuario no está en la OU de máquinas Citrix, por tanto trae su política "estándar"del dominio (proxy si).La política que trae el usuario SE SUMARÁ A LA POLÍTICA DE LA OU DE MÁQUINAS CITRIX. De hecho la política de usuario tiene preferencia sobre la políticaaplicada a una máquina.El resultado es que si la política del usuario dice que quiere usar proxy, vamos atener que usarlo... ¡pues no!SOLUCION: User Group Policy loopback processing mode (hacer que la política deusuario quede anulada por haber una política de máquina)

User Group Policy loopback processing mode

Las posibilidades ocultas del cuadro de diálogo Abrir/GuardarConectar unidades de redNavegar por directoriosCrear archivos/carpetasF2 = renameINTRO = ejecutar

Imprescindible: aplicar política del "Common Open File Dialog"

Dialogo "Abrir": que solo vea lo que necesita

Diálogo "Abrir": que no pueda usar la unidad C

Diálogo "Abrir": que no pueda conectar unidades de red

Otras políticas: logon scripts en modo oculto

Envío automático de información de soporteLa utilidad gpresult sirve para imprimir un resumen de las políticas de directorioactivo aplicadas al cliente.Quizás el cliente detecte problemas de funcionamiento porque se le están aplicandopolíticas incorrectas.Como para poder ejecutar gpresult hay que usar las credenciales del usuario, y noes muy correcto pedirle su password... publicar un script que ejecute "gpresult" y nos envíe el resultado. decirle al usuario que lo ejecute recibiremos un informe con las políticas que se le aplican a ese usuario al hacer logon

SEGURIDAD DEL PUESTO CLIENTE

Seguridad en el clienteConnection CenterEl cliente puede no autorizar el uso de recursos de su PC por parte de lasaplicaciones del servidor

Seguridad en el cliente - File securityConnection CenterPuede no mapear unidades locales o hacerlo en modo solo-lectura.

Seguridad en el cliente - Audio securityConnection CenterPuede no permitir que se use el micro del PC por parte de aplicaciones del servidor

Seguridad en el cliente - Scanner securityConnection CenterPuede no permitir el uso de dispositivos de adquisición de imágenes (TWAIN)

Seguridad en el cliente - PDA securityConnection CenterPuede no permitir el acceso a PDAs conectadas localmente

Seguridad en el cliente webEl web client no tiene interface de configuración, por tanto para activar filtros deseguridad tenemos que hacerlo "a mano" en el fichero WEBICA.INICTX108050How to Disable the Security Popup in the ICA Web Client for PDA and ScannerSecurityThe [PDAInput] and [TWNInput] channel have only two parameters available.Edit WEBICA.INI and add the needed parameters as below:[PDAInput] GlobalSecurityAccess=813 => yes, never ask me[PDAInput] Server IP: port =813 => yes, never ask me again for this server[PDAInput] GlobalSecurityAccess= nothing => yes, always ask me[PDAInput] GlobalSecurityAccess=812 => no, never ask me[PDAInput] Server IP: port =812 => no never ask me for this server.[PDAInput] GlobalSecurityAccess= nothing. => no always ask meThe above also applies to TWNInput, but you will need to use the following parameters instead of 813 access / 812 no access: 821=access, 820=no access

http://misdocumentos.net	111
http://www.misdocumentos.net	81
http://creativecodeworks.com	32
http://webcache.googleusercontent.com	6

Seguridad y Control de Acceso en una instalación Citrix

by Joaquin Herrero on May 07, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 230

Statistics

Seguridad y Control de Acceso en una instalación Citrix — Presentation Transcript