Anwendungsfall: Konformität und Sicherheit des Internetzugangs im Unternehmen gewährleisten

Der Direktor für Netzwerksicherheit in einem Finanzunternehmen möchte das Unternehmensnetzwerk vor externen Bedrohungen aus dem Web in Form von Malware schützen. Dazu muss der Direktor Einblick in ansonsten umgangenen verschlüsselten Datenverkehr erhalten und den Zugriff auf bösartige Websites kontrollieren. Der Direktor muss Folgendes tun:

• Den gesamten Datenverkehr, einschließlich SSL/TLS (verschlüsselter Datenverkehr), der in das Unternehmensnetzwerk hinein- und herausgeht, abfangen und untersuchen.
• Das Abfangen von Anfragen an Websites, die sensible Informationen wie Finanzdaten von Benutzern oder E-Mails enthalten, umgehen.
• Den Zugriff auf schädliche URLs blockieren, die als Quellen für schädliche oder nicht jugendfreie Inhalte identifiziert wurden.
• Endbenutzer (Mitarbeiter) im Unternehmen identifizieren, die auf bösartige Websites zugreifen, und diesen Benutzern den Internetzugang oder die schädlichen URLs blockieren.

Um all dies zu erreichen, kann der Direktor auf allen Geräten im Unternehmen einen Proxy einrichten und diesen auf das Citrix Secure Web Gateway (SWG) verweisen, das als Proxyserver im Netzwerk fungiert. Der Proxyserver fängt den gesamten verschlüsselten und unverschlüsselten Datenverkehr ab, der das Unternehmensnetzwerk durchläuft. Er fordert zur Benutzerauthentifizierung auf und ordnet den Datenverkehr einem Benutzer zu. URL-Kategorien können angegeben werden, um den Zugriff auf illegale/schädliche, nicht jugendfreie sowie Malware- und SPAM-Websites zu blockieren.

Um das oben Genannte zu erreichen, konfigurieren Sie die folgenden Entitäten:

• DNS-Nameserver zur Auflösung von Hostnamen.
• Subnetz-IP-Adresse (SNIP) zur Herstellung einer Verbindung mit den Ursprungsservern. Die SNIP-Adresse sollte Internetzugang haben.
• Proxyserver im expliziten Modus, um den gesamten ausgehenden HTTP- und HTTPS-Verkehr abzufangen.
• SSL-Profil zur Definition von SSL-Einstellungen, wie z. B. Chiffren und Parametern, für Verbindungen.
• CA-Zertifikat-Schlüsselpaar zur Signierung des Serverzertifikats für die SSL-Interzeption.
• SSL-Richtlinie zur Definition der abzufangenden und zu umgehenden Websites.
• Authentifizierungs-Virtual-Server, -Richtlinie und -Aktion, um sicherzustellen, dass nur gültigen Benutzern Zugriff gewährt wird.
• Appflow®-Collector zum Senden von Daten an das Citrix® Application Delivery Management (ADM).

Sowohl CLI- als auch GUI-Verfahren sind für diese Beispielkonfiguration aufgeführt. Die folgenden Beispielwerte werden verwendet. Ersetzen Sie diese durch gültige Daten für IP-Adressen, SSL-Zertifikat und -Schlüssel sowie LDAP-Parameter.

Verwenden des Secure Web Gateway-Assistenten zur Konfiguration des Abfangens und der Untersuchung des Datenverkehrs zum und vom Unternehmensnetzwerk

Das Erstellen einer Konfiguration zum Abfangen und Untersuchen von verschlüsseltem Datenverkehr zusätzlich zum sonstigen Datenverkehr zu und von einem Netzwerk erfordert die Konfiguration von Proxy-Einstellungen, SSLi-Einstellungen, Benutzerauthentifizierungseinstellungen und URL-Filtereinstellungen. Die folgenden Verfahren enthalten Beispiele für die eingegebenen Werte.

SNIP-Adresse und DNS-Nameserver konfigurieren

1. Geben Sie in einem Webbrowser die NSIP-Adresse ein. Zum Beispiel: http://192.0.2.5.

2. Geben Sie unter Benutzername und Passwort die Administratoranmeldeinformationen ein. Der folgende Bildschirm wird angezeigt.

   

3. Klicken Sie in den Abschnitt Subnetz-IP-Adresse und geben Sie eine IP-Adresse ein.

   

4. Klicken Sie auf Fertig.

5. Klicken Sie in den Abschnitt Hostname, DNS-IP-Adresse und Zeitzone und geben Sie Werte für diese Felder ein.

   

6. Klicken Sie auf Fertig und dann auf Weiter.

Proxyeinstellungen konfigurieren

1. Navigieren Sie zu Secure Web Gateway > Secure Web Gateway-Assistent.

2. Klicken Sie auf Erste Schritte und dann auf Weiter.

3. Geben Sie im Dialogfeld Proxyeinstellungen einen Namen für den expliziten Proxyserver ein.

4. Wählen Sie für Erfassungsmodus die Option Explizit aus.

5. Geben Sie eine IP-Adresse und Portnummer ein.

   

6. Klicken Sie auf Weiter.

SSL-Interzeptionseinstellungen konfigurieren

1. Wählen Sie SSL-Interzeption aktivieren aus.

   

2. Klicken Sie unter SSL-Profil auf „+“, um ein neues Frontend-SSL-Profil hinzuzufügen und SSL-Sitzungsinterzeption in diesem Profil zu aktivieren.

   

3. Klicken Sie auf OK und dann auf Fertig.

4. Klicken Sie unter SSL-Interzeptions-CA-Zertifikat-Schlüsselpaar auswählen auf „+“, um ein CA-Zertifikat-Schlüsselpaar für die SSL-Interzeption zu installieren.

   

5. Klicken Sie auf Installieren und dann auf Schließen.

6. Fügen Sie eine Richtlinie hinzu, um den gesamten Datenverkehr abzufangen. Klicken Sie auf Binden und dann auf Hinzufügen.

   

7. Geben Sie einen Namen für die Richtlinie ein und wählen Sie Erweitert aus. Geben Sie im Ausdruckseditor „true“ ein.

8. Wählen Sie für Aktion die Option INTERCEPT aus.

   

9. Klicken Sie auf Erstellen und dann auf Hinzufügen, um eine weitere Richtlinie zum Umgehen sensibler Informationen hinzuzufügen.

10. Geben Sie einen Namen für die Richtlinie ein und klicken Sie unter URL-Kategorien auf Hinzufügen.

11. Wählen Sie die Kategorien Finanzen und E-Mail aus und verschieben Sie diese in die Liste Konfiguriert.

12. Wählen Sie für Aktion die Option BYPASS aus.

    

13. Klicken Sie auf Erstellen.

14. Wählen Sie die beiden zuvor erstellten Richtlinien aus und klicken Sie auf Einfügen.

    

15. Klicken Sie auf Weiter.

    

Benutzerauthentifizierungseinstellungen konfigurieren

1. Wählen Sie Benutzerauthentifizierung aktivieren aus. Wählen Sie im Feld Authentifizierungstyp die Option LDAP aus.

   

2. Fügen Sie LDAP-Serverdetails hinzu.

   

3. Klicken Sie auf Erstellen.

4. Klicken Sie auf Weiter.

URL-Filtereinstellungen konfigurieren

1. Wählen Sie URL-Kategorisierung aktivieren aus und klicken Sie dann auf Binden.

   

2. Klicken Sie auf Hinzufügen.

   

3. Geben Sie einen Namen für die Richtlinie ein. Wählen Sie für Aktion die Option Verweigern aus. Wählen Sie für URL-Kategorien die Optionen Illegal/Schädlich, Nicht jugendfrei und Malware und SPAM aus und verschieben Sie diese in die Liste Konfiguriert.

   

4. Klicken Sie auf Erstellen.

5. Wählen Sie die Richtlinie aus und klicken Sie dann auf Einfügen.

   

6. Klicken Sie auf Weiter.

   

7. Klicken Sie auf Weiter.

8. Klicken Sie auf Analysen aktivieren.

9. Geben Sie die IP-Adresse von Citrix ADM ein und geben Sie für Port den Wert 5557 an.

   

10. Klicken Sie auf Weiter.

11. Klicken Sie auf Fertig.

    

Verwenden Sie Citrix ADM, um wichtige Metriken für Benutzer anzuzeigen und Folgendes zu bestimmen:

• Das Browsing-Verhalten der Benutzer in Ihrem Unternehmen.
• Die von den Benutzern in Ihrem Unternehmen aufgerufenen URL-Kategorien.
• Die Browser, die zum Zugriff auf die URLs oder Domains verwendet werden.

Verwenden Sie diese Informationen, um festzustellen, ob das System des Benutzers mit Malware infiziert ist, oder um das Bandbreitenverbrauchsmuster des Benutzers zu verstehen. Sie können die Richtlinien auf Ihrer Citrix SWG-Appliance feinabstimmen, um diese Benutzer einzuschränken oder weitere Websites zu blockieren. Weitere Informationen zum Anzeigen der Metriken auf MAS finden Sie im Anwendungsfall „Endpunkte überprüfen“ unter MAS-Anwendungsfälle.

Hinweis

Legen Sie die folgenden Parameter mithilfe der CLI fest.

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

CLI-Beispiel

Das folgende Beispiel enthält alle Befehle, die zur Konfiguration des Abfangens und der Untersuchung des Datenverkehrs zum und vom Unternehmensnetzwerk verwendet werden.

Allgemeine Konfiguration:

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Authentifizierungskonfiguration:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
<!--NeedCopy-->

Proxyserver- und SSL-Interzeptionskonfiguration:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

URL-Kategorien-Konfiguration:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
<!--NeedCopy-->

AppFlow-Konfiguration zum Abrufen von Daten in Citrix ADM:

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
<!--NeedCopy-->