Глава 8. Вопросы безопасности

Защита серверов MetaFrame XP Servers

Контроль физического доступа
Предоставьте физический доступ у серверам только тем лицам, кто занят администрированием серверов

Используйте разделы NTFS
Для наибольшей безопасности устанавливайте MetaFrame XP только на разделы NTFS

Установка MetaFrame XP на NTFS обеспечивает защиту локальных баз данных в каталоге %Program Files%\Citrix\Independent Management Architecture так, что только администраторы могут иметь к ним доступ. Не меняйте этот ACL.

Управление доступом
Для повышения безопасности удалите утилитой Mfcfg.exe группу Everyone из списка разрешений для каждого из слушателей, и укажите только группы пользователей, которым действительно необходим доступ.

Настройка службы SNMP
Служба SNMP в Windows по умолчанию имеет привилегии чтение/запись. Если вы используете Citrix Network Manager или другое ПО управления по SNMP только для мониторинга сервера (не для управления), установите привилегии только для чтения. Если SNMP не используется, вообще удалите эту службу с сервера.
Для администраирования необходимы права чтение/запись.
Блокируйте входящий траффик SNMP из Интернета используя защитные экраны, блокирующие порты UDP 161 и 162.

Настройка бюджетов администраторов
Давайте права администрирования только тем пользователям, которые являются членами группы администраторов Windows.

Защита хранилища данных


Пользователям, не имеющим доступа к серверам MetaFrame XP, не должно даваться никакого доступа к хранилищу данных.

В режиме прямого доступа все сервера фермы разделяют один бюджет пользователя и пароль для доступа к хранилищу. Выбюирайте пароль, который сложно вычислить. Держите имя пользователя и пароль в тайне и сообщайте их администратору Citrix только с целью инсталляции MetaFrame XP.

Если в прямом режиме бюджет пользователя для доступа к хранилищу позже изменился, служба IMA не сможет запуститься. В этом случае используйтек команду dsmaint config на каждом затронутом сервере.

Microsoft Access
По умолчанию имя пользователя “citrix” и пароль “citrix.” Если пользователи имеют доступ к серверу хранилища данных, смените пароль командой dsmaint config .

Microsoft SQL Server
Пользователь, используемый для доступа к хранилищу имеет роли public и db_owner на сервере в в базе данных. Учетные данные системного администратора (sa) не требуются для доступа к хранилищу; не используйте их. Если MSSQL настроен на смешанный режим (вы можете использовать либо аутентификацию MSSQL, либо Windows NT), то можете создать отдельного пользователя MSSQL только для доступа к данным. По соображениям безопасности Citrix рекомендует использовать только аутентификацию Windows NT.
Для повышения безопасности после инсталляции с правами db_owner смените привилегии пользователя на db_reader и db_writer.
Важно. Изменение прав может вызвать проблемы при установке будущих пакетов обновлений MetaFrame XP. Не забудьте сменить права обратно на db_owner до установки MetaFrame XP service pack или feature release.

Oracle
Дайте привилегии пользователю только “connect” и “resource” . Для доступа к хранилищу привилегии системного администратора не нужны.


IBM DB2
Дайте следующие привилегии пользователю, используемому для доступа к хранилищу данных:
• Connect database
• Create tables
• Register functions to execute to database manager’s process
• Create schemas implicity

Защита сети

Серверы MetaFrame XP и хранилище данных должны находиться в сетях, защищенных от перехвата пакетов. В некоторых случаях межсерверные коммуникации производятся открытым текстом.

Связь с Microsoft SQL Server использует опцию мультипротокольного шифрования.

Защита сети от DoS-атак

Атаки DoS насыщают сеть и серверы бесполезными запросами информации. Атакующие используют несколько сайтов для распределенной атаки на сети, черверы, веб-сайты. Серверы перестают откликаться на запросы из-за перегруженности.

Защищайте реестр серверов MetaFrame XP. Периодически делайте его резервные копии.

Microsoft сделала рекомендации по лечению реестра так, чтобы система была устойчива к атакам DoS. Подробнее см. на сайте http://www.microsoft.com/technet. Воспользуйтесь поиском по фразе “Security Considerations for Network Attacks”.
Microsoft рекомендует сделать изменения в следующих значениях ррестра:
network against DoS attacks:
• SynAttackProtect
• TcpMaxHalfOpen
• TcpMaxHalfRetried
• Enable PMTUDiscovery
• NoNameReleaseOnDemand
• EnableDeadGWDetect
• KeepAliveTime
• PerformRouterDiscovery
• EnableICMPRedirects

Защита Citrix Management Console

Citrix Management Console является приложением Java, которое может выполняться на серверах MetaFrame XP и рабочих станциях. Однако, для избежания перехвата пакетов запускайте ее только на серверах MetaFrame XP или в окружении, где появление снифферов исключается.

Защита соединений ICA

MetaFrame XP включает поддержку шифрования ICA между клиентом и сервером, использующее RSA RC5. Поддержка открытых стандартов реализована в MetaFrame XP, Feature Release 1. Feature Release 1 добавил Citrix SSL Relay, использующий для шифрования SSL.

MetaFrame XP Feature Release 2 включает Citrix Secure Gateway. Он предусматривает шлюз SSL/TLS между серверами MetaFrame XP и клиентами ICA, находящимися в Internet.

Защита NFuse Classic

Интеграция MetaFrame и прокси


Клиент ICA и SOCKS

В этом разделе обсуждается рекомендуемая настройка для клиентов ICA, подключающихся через защитный экран с поддержкой SOCKS или Secure Proxy. Типичные порты следующие:
ICA Port: 1494
SOCKS (v4 or v5): 1080
Web Proxy: 80 and/or 8080
Secure Proxy: 443 and/or 563
Некоторые прокси могут использовать порт 3128 (напрмер, Squid).

Параметры INI-файла ICA

Вы можете добавитьследующие параметры в пользовательские файлы .ini files (находящиеся в файле %userprofile%\Application Data\ICA Client\APPSRV.INI) или в файлы ICA

Добавьте параметры в раздел [WFCLIENT] файла .ini, или в раздел [<APPLICATION>] файла .ica только если параметр DoNotUseDefaultCSL=ON установлен в том же разделе.


INI File Parameters for ICA Client Version 6.20.986
ICASOCKSProtocolVersion={-1|0|4|5}
ICASOCKSProxyHost=Адрес IP или FQDN прокси
ICASOCKSProxyPortNumber=Порт прокси
ICASOCKSrfc1929UserName=Имя пользователя SOCKSv5
ICASOCKSrfc1929Password=Пароль пользователя SOCKSv5
ICASOCKSTimeout=Время в миллисекундах ожидания ответа от прокси-сервера


INI File Parameters for ICA Client Version 6.30.1050
ProxyType={None|Auto|Socks|SocksV4|SocksV5|Secure|Script}
ProxyHost=Proxy Address:Proxy Port or IP Address:Proxy Port
ProxyBypassList=Domain names/IP Addresses that the Proxy Server will ignore at connection time
ProxyAutoConfigURL=Address of Http server path of Auto-Configuration File
ProxyUsername=SOCKSv5/Secure Proxy Username
ProxyPassword=SOCKSv5/Secure Proxy Password
ProxyTimeout=Время в миллисекундах ожидания ответа от прокси-сервера; минимум 1000

Объяснения параметров

ProxyType. Тп прокси:
None — клиент использует прямое соединение с сервером, прокси не используется
Auto — использовать настройки браузера (Microsoft Internet Explorer 4.x или поже, Netscape Navigator 4.76)
SOCKS — создать соединение SOCKS и определить версию SOCKS
SOCKS V4 — создать соединение SOCKS Version 4
SOCKS V5 — создать соединение версии SOCKS Version 5
Secure — соединяться по защищенному туннельному протоколу; обычно SSL/TLS. Вы должны настроить Citrix SSL/TLS Relay или использовать Citrix Secure Gateway. Citrix рекомендует использовать SSL/TLS+HTTP, или TCP/IP+HTTP и установить 128-битное шифрование.
Script — использовать файл JavaScript Proxy Auto-Configuration (*.PAC) или файл настроек Microsoft Internet Explorer Internet Settings (*.INS) для конфигурации прокси. Установите тип прокси "Auto". Путь к файлу устанавливается параметром ProxyAutoConfigURL.
ProxyHost. Включает адрес прокси и номер порта. Например, 192.168.0.1:8080 или proxy.citrix.com:1080.
ProxyBypassList. Список доменных имен, которые должны игнорироваться прокси. Используйте этот список для подключения к серверам, находящихся в той же сети без использования прокси и защитных экранов. Например, клиент может находиться в том же домене, что и сервер MetaFrame XP (напрмер, corp.company.com). Тогда вы можете указать в ProxyBypassList значение *.corp.company.com *.partner.company.com вместо настройки каждого соединения на прямое подключение отдельно. Для разделения списка используйте запятую или точку с запятой.
ProxyAutoConfigURL. Позволяет включить HTTP URL в скрипт JavaScript автоопределения прокси (*.PAC) или файл настройки Microsoft Internet Explorer (*.INS).


Возврат