|
| Behøver man ikke VPN med en Citrix-løsning~ Fra : Anders Tjerke Hansen |
Dato : 12-02-02 10:46 |
|
Hej hej
Hvis man nu kører Windows 2000 og evt. Citrix... behøver man så en
VPN-løsning ???
Jeg har i nogle fakta-blade set, at der står at trafikken er sikker, da den
bliver krypteret!
Er der nogen som ved, om det er sikkert nok? Eller skal man have yderligere
sikkerhed ?
Findes der nogle gode firmaer som er specialister i Terminal-servere og
Citrix ???
--
Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup
| |
Christian E. Lysel (12-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 12-02-02 11:43 |
|
Anders Tjerke Hansen wrote:
> Hej hej
Hej hej hej
> Hvis man nu kører Windows 2000 og evt. Citrix... behøver man så en
> VPN-løsning ???
Afhængigt af dit behov og setup.
> Jeg har i nogle fakta-blade set, at der står at trafikken er sikker, da den
> bliver krypteret!
Nævner de samme fakta-blade, hvor tit nøglen bliver skiftet?
Eller hvordan nøglen bliver bygget?
> Er der nogen som ved, om det er sikkert nok? Eller skal man have yderligere
> sikkerhed ?
Jeg synes ikke det er sikkert nok. Citrix er ikke et sikkerhedsprodukt,
hvilket også er tydeligt i den måde de har implementeret deres "sikkerhed".
Men hvis du stiller Citrix serveren på en DMZ, helt alene, uden kontakt
til det lokale net, og du er ligeglad med om den bliver angrebet, er det
vel fint nok.
Men skal Citrix serveren have adgang til dine data, der er følsomme,
ville jeg seriøst overveje en VPN løsning.
De fleste Citrix folk, kan ikke svarer på mine to første spørgsmål.
> Findes der nogle gode firmaer som er specialister i Terminal-servere og
> Citrix ???
Ja, du bør nok vælge en der også tænker på sikkerheden :)
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 00:36 |
| | |
Christian E. Lysel (13-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-02-02 08:49 |
|
Lars Kim Lund wrote:
>>Men skal Citrix serveren have adgang til dine data, der er følsomme,
>>ville jeg seriøst overveje en VPN løsning.
> Hvis man ikke synes NFuse/CGS er Sikkert Nok (tm), så kan man kigge på
> Citrix Extranet.
> http://www.citrix.com/products/extranet/default.asp
Hvor ikke bruge Citrix® Secure Gateway, se
http://www.citrix.com/products/securegateway/Default.asp
All Citrix ICA traffic traversing the Internet between client devices
and the Citrix Secure Gateway server is encrypted using
Internet-standard SSL technology, ensuring the secure transfer of data
across public networks.
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 16:12 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>>>Men skal Citrix serveren have adgang til dine data, der er følsomme,
>>>ville jeg seriøst overveje en VPN løsning.
>> Hvis man ikke synes NFuse/CGS er Sikkert Nok (tm), så kan man kigge på
>> Citrix Extranet.
>
>> http://www.citrix.com/products/extranet/default.asp
>
>Hvor ikke bruge Citrix® Secure Gateway, se
Under antagelse af s/Hvor/Hvorfor/ så skrev jeg netop: "Hvis man ikke
synes NFuse/CGS er Sikkert Nok (tm)"
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 16:47 |
|
Hej Lars Kim Lund <larskim@mail.com>
>>>>Men skal Citrix serveren have adgang til dine data, der er følsomme,
>>>>ville jeg seriøst overveje en VPN løsning.
>>> Hvis man ikke synes NFuse/CGS er Sikkert Nok (tm), så kan man kigge på
>>> Citrix Extranet.
>>
>>> http://www.citrix.com/products/extranet/default.asp
>>
>>Hvor ikke bruge Citrix® Secure Gateway, se
>
>Under antagelse af s/Hvor/Hvorfor/ så skrev jeg netop: "Hvis man ikke
>synes NFuse/CGS er Sikkert Nok (tm)"
Og med CGS det mente jeg CSG. I det mindste har jeg været konsekvent.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (13-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-02-02 23:32 |
|
Lars Kim Lund wrote:
> Under antagelse af s/Hvor/Hvorfor/ så skrev jeg netop: "Hvis man ikke
> synes NFuse/CGS er Sikkert Nok (tm)"
overså cgs :)
| |
Povl H. Pedersen (12-02-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 12-02-02 23:05 |
|
On Tue, 12 Feb 2002 10:45:31 +0100,
Anders Tjerke Hansen <jdksl@hfjakla.dk> wrote:
> Hvis man nu kører Windows 2000 og evt. Citrix... behøver man så en
> VPN-løsning ???
Du kan sætte Citrix til at køre krypteret. Har dog hørt, at det
skulle æde ret meget performance. Jeg ved ikke hvor slemt det er.
Hvis du bruger NFuse, så kan du køre dine sessioner over SSL, og
128-bit SSL kan anses for OK.
> Jeg har i nogle fakta-blade set, at der står at trafikken er sikker, da den
> bliver krypteret!
Ja, ROT-13 er også en kryptering. Ligesom klartekst vel også
er det. Det er en XOR kryptering med nøglen 0.
> Er der nogen som ved, om det er sikkert nok? Eller skal man have yderligere
> sikkerhed ?
>
> Findes der nogle gode firmaer som er specialister i Terminal-servere og
> Citrix ???
Der er nok nogle. Men jeg ville under alle omstændigheder vælge noget
man kender, og som er åbne om algoritmer. Så enten NFuse med SSL eller
noget VPN.
Bruger du alm. username/password som eneste authentication ? I så
fald bør du kun give adgang til brugere med gode password-vaner.
Denne metode er jo åben for hackere.
Jeg ville som minimum bruge certifikat på klienten til authentication
mod server.
| |
Christian E. Lysel (12-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 12-02-02 23:35 |
|
Povl H. Pedersen wrote:
> Hvis du bruger NFuse, så kan du køre dine sessioner over SSL, og
> 128-bit SSL kan anses for OK.
Dette er en illusion!
Alex, bør vi ligge Citrix NFuse på snakeoil?
I virkeligheden downloader man en Java eller ActiveX komponent over en
http forbindelse.
Denne http forbindelse kan rigtigt nok være pakket ind i SSL, således
man undgår ændring af data.
Når komponenten er downloaded, starter klienten op, og denne kører
_ikke_ http i SSL, men blot ICA.
>>Jeg har i nogle fakta-blade set, at der står at trafikken er sikker, da den
>>bliver krypteret!
> Ja, ROT-13 er også en kryptering. Ligesom klartekst vel også
> er det. Det er en XOR kryptering med nøglen 0.
Jeg mener dette siger det hele :)
Deres stærke kryptering er endvidere uden nøgle udveksling. Denne nøgle
ligger desuden i klar tekst i en konfigurations fil på både klient og
server.
Kører serveren IIS er det endvidere typisk _meget_ nemt at hente
konfigurationensfilen med der til hørende krypteringsnøgler.
> Der er nok nogle. Men jeg ville under alle omstændigheder vælge noget
> man kender, og som er åbne om algoritmer. Så enten NFuse med SSL eller
> noget VPN.
Du skal dog helst bruge et firma der har gennemskuet at SSL er ubrugligt
og blot giver en falsk sikkerhed.
Og overvej seriøst at kører trafikken igennem en VPN.
> Bruger du alm. username/password som eneste authentication ? I så
> fald bør du kun give adgang til brugere med gode password-vaner.
> Denne metode er jo åben for hackere.
>
> Jeg ville som minimum bruge certifikat på klienten til authentication
> mod server.
Hvilket kun forhindre angriberen i at downloade filen fra sitet. I
stedet kan angriberen downloade en klient fra www.citrix.com.
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 00:06 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>> Hvis du bruger NFuse, så kan du køre dine sessioner over SSL, og
>> 128-bit SSL kan anses for OK.
>
>Dette er en illusion!
Problemet er rigtig mange ikke har forstået hvad NFuse er - og især
hvad det ikke er. NFuse er portalsoftware - en webbaseret program
neighborhood. Al ICA trafik håndteres af de traditionelle klienter,
hvis man ikke benytter CGS til at bære sesionen over SSL.
Det betyder dog ikke at authenticeringen ikke kan være meget stærk,
f.eks. hvis man kombinerer det med RSA SecurID/ACE, som NFuse har
snitflader mod.
>Alex, bør vi ligge Citrix NFuse på snakeoil?
Hvad er det helt konkret på citrix.com du mener kvalificerer som
snakeoil?
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Povl H. Pedersen (13-02-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 13-02-02 07:45 |
|
On Wed, 13 Feb 2002 00:05:33 +0100,
Lars Kim Lund <larskim@mail.com> wrote:
> Problemet er rigtig mange ikke har forstået hvad NFuse er - og især
> hvad det ikke er. NFuse er portalsoftware - en webbaseret program
> neighborhood. Al ICA trafik håndteres af de traditionelle klienter,
> hvis man ikke benytter CGS til at bære sesionen over SSL.
Jeg er lidt newbie ud i dette, men havde dog troet at den
downloadede klient ville bruge den "gratis" teknologi SSL,
hvilket jeg umiddelbart ville mene skulle være OK.
> Det betyder dog ikke at authenticeringen ikke kan være meget stærk,
> f.eks. hvis man kombinerer det med RSA SecurID/ACE, som NFuse har
> snitflader mod.
Ja. Men ofte vil det være mere eller mindre kritiske data der
søges tilgang til udefra. Kan man tillade at dette sker ukrypteret ?
Authentication er jo bare et element i kommunikationen. Og en hacker
kan vel principielt herefter overtage sessionen medmindre den er
krypteret / signerede pakker.
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 07:53 |
|
Hej nospam@home.terminal.dk (Povl H. Pedersen)
>> Det betyder dog ikke at authenticeringen ikke kan være meget stærk,
>> f.eks. hvis man kombinerer det med RSA SecurID/ACE, som NFuse har
>> snitflader mod.
>
>Ja. Men ofte vil det være mere eller mindre kritiske data der
>søges tilgang til udefra. Kan man tillade at dette sker ukrypteret ?
Risikoanalyse.
>Authentication er jo bare et element i kommunikationen. Og en hacker
>kan vel principielt herefter overtage sessionen medmindre den er
>krypteret / signerede pakker.
Principielt, ja. Men du er vel enig i at risikoen for et hijack (man
in the middle angreb) er langt ringere end at et standard logon
kompromitteres.
Hvis man ikke synes 56bit RC5 giver tilfredsstillende sikkerhed på
sessionen kan man som sagt køre det over 128 bit SSL - og hvis heller
ikke er tilfredsstillende så kan man køre det over VPN med Citrix
Extranet (eller gennem en allerede etableret VPN tunnel)
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (13-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-02-02 08:47 |
|
Lars Kim Lund wrote:
> Principielt, ja. Men du er vel enig i at risikoen for et hijack (man
> in the middle angreb) er langt ringere end at et standard logon
> kompromitteres.
Nej.
De typiske installationer jeg har auditeret er sket på en IIS server,
uden denne er hardnet.
Derved er det nemt at få adgang til webserveren og installerer en sniffer.
Dog plejer jeg at være doven og laver en ændring i asp koden, således at
brugernavn og password gemmes i en logfil,.
> ikke er tilfredsstillende så kan man køre det over VPN med Citrix
> Extranet (eller gennem en allerede etableret VPN tunnel)
Men hvorfor ikke så bygge en "rigtig" VPN infrastruktur, af en producent
der lever af at udvikle sikkerhedsprodukter. Denne VPN infrastruktur kan
også bruges til andre ting.
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 16:14 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>> ikke er tilfredsstillende så kan man køre det over VPN med Citrix
>> Extranet (eller gennem en allerede etableret VPN tunnel)
>
>Men hvorfor ikke så bygge en "rigtig" VPN infrastruktur, af en producent
>der lever af at udvikle sikkerhedsprodukter. Denne VPN infrastruktur kan
>også bruges til andre ting.
Var det ikke det jeg skrev? (eller gennem en allerede etableret VPN
tunnel)
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Povl H. Pedersen (17-02-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 17-02-02 16:10 |
|
On Wed, 13 Feb 2002 08:46:46 +0100,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Men hvorfor ikke så bygge en "rigtig" VPN infrastruktur, af en producent
> der lever af at udvikle sikkerhedsprodukter. Denne VPN infrastruktur kan
> også bruges til andre ting.
Med en rigtig VPN infrastruktur, så er der en fare for at der
kan komme mærkelige ting og personer ind via denne. Fordelen
ved kun at køre Citrix er, at medarbejderens hjemmePC kan være
forurenet med Kazaa, virus o.lign., og stadig kun udgøre en
begrænset sikkerhedsrisiko.
Det ville ikke vre rart med en masse hjemmePC'er med Nimda og
andre sjove ting inde på firmaets net.
>
| |
Christian E. Lysel (17-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 17-02-02 17:07 |
|
Povl H. Pedersen wrote:
> Med en rigtig VPN infrastruktur, så er der en fare for at der
> kan komme mærkelige ting og personer ind via denne. Fordelen
Men en rigtig VPN infrastruktur kan du styrer adgang VPN brugerne har
til de forskellige interne resource, således at citrix brugeren kun kan
kører citrix trafik til citrix serverne.
> ved kun at køre Citrix er, at medarbejderens hjemmePC kan være
> forurenet med Kazaa, virus o.lign., og stadig kun udgøre en
> begrænset sikkerhedsrisiko.
Hvis hjemmebrugerne har en trojansk hest der kan fange password, tastet
via keyboardet eller som kommer forbi netværket, bør dette betragtes som
en _stor_ sikkerhedsrisiko!
> Det ville ikke vre rart med en masse hjemmePC'er med Nimda og
> andre sjove ting inde på firmaets net.
VPN behøver ikke at have fuld adgang til det interne net.
| |
Povl H. Pedersen (17-02-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 17-02-02 21:57 |
|
On Sun, 17 Feb 2002 17:06:54 +0100,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Hvis hjemmebrugerne har en trojansk hest der kan fange password, tastet
> via keyboardet eller som kommer forbi netværket, bør dette betragtes som
> en _stor_ sikkerhedsrisiko!
Enig. Derfor bør en 2 faktor authentication være minimum. Det
være sig tokens, one-time passwords (f.eks. på papir) eller en helt
3die løsning.
one-time pw på papir er nævnt fordi det reelt er hvad Jyske Bank
bruger med deres Internet bank. Og man kan selv implementere noget
sådant meget billigt.
>> Det ville ikke vre rart med en masse hjemmePC'er med Nimda og
>> andre sjove ting inde på firmaets net.
>
> VPN behøver ikke at have fuld adgang til det interne net.
Enig. Det er jo bare et sæt IP adresser mere, og man kan
styre routing som man vil.
Og en VPN bør jo også ende i DMZ.
| |
Christian E. Lysel (13-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-02-02 08:37 |
|
Lars Kim Lund wrote:
>>Dette er en illusion!
> Problemet er rigtig mange ikke har forstået hvad NFuse er - og især
> hvad det ikke er. NFuse er portalsoftware - en webbaseret program
> neighborhood. Al ICA trafik håndteres af de traditionelle klienter,
> hvis man ikke benytter CGS til at bære sesionen over SSL.
Dette gælder også folk der er Citrix certificeret!
> Det betyder dog ikke at authenticeringen ikke kan være meget stærk,
> f.eks. hvis man kombinerer det med RSA SecurID/ACE, som NFuse har
> snitflader mod.
Men sikkerhedsmodellen er forkert, hvorfor ligge authentication ind i
produktet, istedet for at bygge en proxy der sætter sig mellem klient og
server?
>>Alex, bør vi ligge Citrix NFuse på snakeoil?
> Hvad er det helt konkret på citrix.com du mener kvalificerer som
> snakeoil?
Citat fra http://www.citrix.com/products/nfuse/default.asp
Citrix NFuse delivers high-level security through SSL encryption
Dette er gruden til mange tror det er sikkert.
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 16:11 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>>>Dette er en illusion!
>> Problemet er rigtig mange ikke har forstået hvad NFuse er - og især
>> hvad det ikke er. NFuse er portalsoftware - en webbaseret program
>> neighborhood. Al ICA trafik håndteres af de traditionelle klienter,
>> hvis man ikke benytter CGS til at bære sesionen over SSL.
>
>Dette gælder også folk der er Citrix certificeret!
Måske. Jeg har også mødt den ret ofte, men det holder jeg ikke Citrix
ansvarlig for. Jeg mener de skriver ret præcist hvad NFuse er i deres
produktbeskrivelser og white-papers.
>> Det betyder dog ikke at authenticeringen ikke kan være meget stærk,
>> f.eks. hvis man kombinerer det med RSA SecurID/ACE, som NFuse har
>> snitflader mod.
>
>Men sikkerhedsmodellen er forkert, hvorfor ligge authentication ind i
>produktet, istedet for at bygge en proxy der sætter sig mellem klient og
>server?
Med CGS har du jo en proxy. NFuse kan siges at være en proxy til CPN.
>>>Alex, bør vi ligge Citrix NFuse på snakeoil?
>> Hvad er det helt konkret på citrix.com du mener kvalificerer som
>> snakeoil?
>
>
>Citat fra http://www.citrix.com/products/nfuse/default.asp
>
>Citrix NFuse delivers high-level security through SSL encryption
>
>Dette er gruden til mange tror det er sikkert.
Det er sådan set også korrekt, til det NFuse bruges til. Der står ikke
at NFuse krypterer sessionen. Det er muligt at de ikke skærer det ud i
pap på oversigten, men hvis man besværer sig med at læse lidt videre i
de pdf'er de linker til, så fremgår det så tydeligt.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (13-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-02-02 23:34 |
|
Lars Kim Lund wrote:
>>Citrix NFuse delivers high-level security through SSL encryption
>>Dette er gruden til mange tror det er sikkert.
> Det er sådan set også korrekt, til det NFuse bruges til. Der står ikke
> at NFuse krypterer sessionen. Det er muligt at de ikke skærer det ud i
> pap på oversigten, men hvis man besværer sig med at læse lidt videre i
> de pdf'er de linker til, så fremgår det så tydeligt.
Kan du referere til en side eller to i et eller flere pdf dokumenter
hvor det fremgår tydeligt?
"delivers" high-level security", er da den værste gang marketingsgas.
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 23:51 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>>>Citrix NFuse delivers high-level security through SSL encryption
>>>Dette er gruden til mange tror det er sikkert.
>> Det er sådan set også korrekt, til det NFuse bruges til. Der står ikke
>> at NFuse krypterer sessionen. Det er muligt at de ikke skærer det ud i
>> pap på oversigten, men hvis man besværer sig med at læse lidt videre i
>> de pdf'er de linker til, så fremgår det så tydeligt.
>
>Kan du referere til en side eller to i et eller flere pdf dokumenter
>hvor det fremgår tydeligt?
Prøv at læse whitepaperet under "how it works".
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (14-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 14-02-02 00:48 |
|
Lars Kim Lund wrote:
>>>Det er sådan set også korrekt, til det NFuse bruges til. Der står ikke
>>>at NFuse krypterer sessionen. Det er muligt at de ikke skærer det ud i
>>>pap på oversigten, men hvis man besværer sig med at læse lidt videre i
>>>de pdf'er de linker til, så fremgår det så tydeligt.
>>Kan du referere til en side eller to i et eller flere pdf dokumenter
>>hvor det fremgår tydeligt?
> Prøv at læse whitepaperet under "how it works".
Der står intet om krypteret SSL sessioner.
Der står dog lidt om ICA sessioner, men ikke om disse er pakket ind i
SSL eller ej.
Derimod står der under "Security - SSL Encryption":
SSL (Secure Sockets Layer) is the leading security protocol on the
Internet. Adding 128-bit SSL encryption stengthens protection og
credentials being passed between the MetaFrame server and the Web
server. This capability complements the data encryption provided by
Citrix MetaFrame between the server and ICA Client, thus providing
encryption for the entire application serving process.
Af de sidste fremgår jo tydeligt at der krypteres mellem ICA klienten og
serveren....men ikke at det i virkeligheden kun er mellem klientens
Internet browseren og webserveren, der benyttes SSL.
Dette kapitel omhandler SSL kryptering, derved snydes læseren til at
underforstå at ssl også er benyttet mellem ica klienten og citrix
serveren. Af tegninen ved siden af (der omhandler "ticketing") fremgår
det også at webserveren sidder foran citrix miljøet.
Dog vil den sidste illustration "NFuse in action" vise at ICA kører over
TCP/IP, direkte til citrix serveren.
| |
Lars Kim Lund (14-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 14-02-02 01:22 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>Dette kapitel omhandler SSL kryptering, derved snydes læseren til at
>underforstå at ssl også er benyttet mellem ica klienten og citrix
>serveren. Af tegninen ved siden af (der omhandler "ticketing") fremgår
>det også at webserveren sidder foran citrix miljøet.
Alt kan misforstås hvis man anstrenger sig tilstrækkeligt hårdt og
længe. Det jeg opponerer mod er dine påstande om at Citrix bevidst
forsøger at vildlede kunderne, hvilket jeg ikke kan se beviser på
skulle være tilfældet.
Ovenst. form for argumentation kan jeg svært se som andet end søgte
bortforklaringer af dine uberettigede beskyldninger om snakeoil. Og
med det sagt, så er min deltagelse i denne del af tråden hermed slut.
>Dog vil den sidste illustration "NFuse in action" vise at ICA kører over
>TCP/IP, direkte til citrix serveren.
Netop.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (14-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 14-02-02 11:03 |
|
Lars Kim Lund wrote:
>>Dette kapitel omhandler SSL kryptering, derved snydes læseren til at
>>underforstå at ssl også er benyttet mellem ica klienten og citrix
>>serveren. Af tegninen ved siden af (der omhandler "ticketing") fremgår
>>det også at webserveren sidder foran citrix miljøet.
> Alt kan misforstås hvis man anstrenger sig tilstrækkeligt hårdt og
> længe. Det jeg opponerer mod er dine påstande om at Citrix bevidst
> forsøger at vildlede kunderne, hvilket jeg ikke kan se beviser på
> skulle være tilfældet.
Alle de Citrix folk og kunder jeg har snakket med har haft indtrykket af
at SSL bruges mellem ICA klient og Citrix serveren.
Nogle af disse kunder har været på seminar hos Citrix, hvor det er
bliver efterladt med dette indtryk.
Mange har endvidere den holdning, at alle de storer firmaer bruger
Citrix, så derfor er det sikkert nok.
Dog har vi i sikkerhedsafdelingen godt kunne gennemskue hvordan det i
virkeligheden virker, men vi har ikke kunne finde en præsis beskrivelse
af det i Citrix's dokumentation. Men en netværkssniffer hjælper :)
Du er faktisk den første, der har kunne forklarer hvordan det i
virkeligheden virker!
> Ovenst. form for argumentation kan jeg svært se som andet end søgte
> bortforklaringer af dine uberettigede beskyldninger om snakeoil. Og
Jeg forholder mig blot de mange episoder jeg har oplevet, hvor kunder og
konsulenter har "misforstået" citrix.
Endvidere er jeg træt af at der findes så mange mennesker der har fået
det forkerte indtryk af hvordan det virker. Nogle holder stædigt fast i
at det virkeligt brugere SSL også i ICA sessionen.
Hvis du findet et dokument, men en reference til hvor og på hvilken
side, der tydeligt fortæller hvordan det virker, modtager jeg det med
kys hånd.
> med det sagt, så er min deltagelse i denne del af tråden hermed slut.
..
>>Dog vil den sidste illustration "NFuse in action" vise at ICA kører over
>>TCP/IP, direkte til citrix serveren.
> Netop.
Denne illustation omhandler ikke sikkerhedsaspekterne.
Sikkerhedsaspekterne blev beskrevet i "Security - SSL Encryption". Dette
afsnit efterlader læseren med det indtryk at der bruges SSL.
| |
Lars Kim Lund (15-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 15-02-02 01:26 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>> Alt kan misforstås hvis man anstrenger sig tilstrækkeligt hårdt og
>> længe. Det jeg opponerer mod er dine påstande om at Citrix bevidst
>> forsøger at vildlede kunderne, hvilket jeg ikke kan se beviser på
>> skulle være tilfældet.
>
>Alle de Citrix folk og kunder jeg har snakket med har haft indtrykket af
>at SSL bruges mellem ICA klient og Citrix serveren.
Det synes jeg siger mere om de folk, end det gør om materialet.
>Nogle af disse kunder har været på seminar hos Citrix, hvor det er
>bliver efterladt med dette indtryk.
Marketing.
>Du er faktisk den første, der har kunne forklarer hvordan det i
>virkeligheden virker!
Det har jeg svært ved at tro på, men hvis du siger det.
>> Ovenst. form for argumentation kan jeg svært se som andet end søgte
>> bortforklaringer af dine uberettigede beskyldninger om snakeoil. Og
>
>Jeg forholder mig blot de mange episoder jeg har oplevet, hvor kunder og
>konsulenter har "misforstået" citrix.
Jeg har også mødt folk der har misforstået grundlæggende principper i
så meget andet. Det laster jeg dem for og ikke de produkter de
misforstår.
>Hvis du findet et dokument, men en reference til hvor og på hvilken
>side, der tydeligt fortæller hvordan det virker, modtager jeg det med
>kys hånd.
Jeg synes som sagt den figur i whitepaperet viser med al tydelighed at
selve ICA sessionen ikke passerer NFuse portalen. Og ellers kan man
læse om Secure Gateway, hvor man i det mindste indirekte kan læse hvad
NFuse ikke er ved at læse om hvad CSG tilbyder ekstra.
>> med det sagt, så er min deltagelse i denne del af tråden hermed slut.
>.
Nå, så kom jeg alligevel til at bryde mit EOD.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (15-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 15-02-02 08:57 |
|
Lars Kim Lund wrote:
> Jeg synes som sagt den figur i whitepaperet viser med al tydelighed at
> selve ICA sessionen ikke passerer NFuse portalen. Og ellers kan man
> læse om Secure Gateway, hvor man i det mindste indirekte kan læse hvad
> NFuse ikke er ved at læse om hvad CSG tilbyder ekstra.
Jeg synes det er godt de har lavet CSG, en del kunder har problemer med
at kører citrix ud igennem deres firewall, der kun tillade http og https
sessioner, så det problem bliver nu løst.
Har du haft mulighed med at rode med CSG? Hvad synes du om det?
>>>med det sagt, så er min deltagelse i denne del af tråden hermed slut.
>>.
> Nå, så kom jeg alligevel til at bryde mit EOD.
Det tager vi ikke så tungt :)
| |
Lars Kim Lund (15-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 15-02-02 09:21 |
|
Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
>Har du haft mulighed med at rode med CSG?
Nej.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Lars Kim Lund (12-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 12-02-02 23:48 |
|
Hej nospam@home.terminal.dk (Povl H. Pedersen)
>Hvis du bruger NFuse, så kan du køre dine sessioner over SSL, og
>128-bit SSL kan anses for OK.
Hov, ikke blande tingene. NFuse er portal-software og kan bedst
sammenlignes med en webificeret program neighborhood. Det kan måske
bringes til at kryptere selve overførslen af userid/kode, men ICA
sessionen foregår med en traditionel klient (java/activex/win32
whatever), der benytter 40/56bit RC5.
Jeg tror du tænker på Citrix Secure Gateway, hvor selve ICA sessionen
overføres over 128bit SSL 3.0.
>Jeg ville som minimum bruge certifikat på klienten til authentication
>mod server.
Jeg mener at det vigtigste er at kunne bestemme brugerens identitet.
Det vil sige stærk authentification. Risikoen for at et simpelt logon
stjæles er langt højere end at data bliver sniffet.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Lars Kim Lund (12-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 12-02-02 23:35 |
|
Hej "Anders Tjerke Hansen" <jdksl@hfjakla.dk>
>Hvis man nu kører Windows 2000 og evt. Citrix... behøver man så en
>VPN-løsning ???
Det afhænger af hvilket sikkerhedsniveau man ønsker.
>Jeg har i nogle fakta-blade set, at der står at trafikken er sikker, da den
>bliver krypteret!
Intet er sikkert - og kryptering er et vidt begreb. Basic encryption
består af en simpel XOR algoritme, og den er forlængst blevet
kompromitteret.
Både Win2000 og Citrix Metaframe understøtter multilevel encryption,
dvs. 40-56 bit kryptering og 128 bit ved authentication.
Det er Sikkert Nok (tm) for de fleste.
>Findes der nogle gode firmaer som er specialister i Terminal-servere og
>Citrix ???
Der findes i hvert fald mange der påstår de er det.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Gulle (13-02-2002)
| Kommentar Fra : Gulle |
Dato : 13-02-02 09:37 |
|
> Sikkert Nok (tm)
Lig et lille OT-spm:
"Sikkert Nok (tm)" .... hmmm...
Er (tm) en joke eller er det virkelig reg. varemærke ???
- gulle
| |
Lars Kim Lund (13-02-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 13-02-02 16:15 |
|
Hej "Gulle" <gulle@gulle.dk>
>> Sikkert Nok (tm)
>
>Lig et lille OT-spm:
>"Sikkert Nok (tm)" .... hmmm...
>
>Er (tm) [..] virkelig reg. varemærke ???
ja.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
gulle (13-02-2002)
| Kommentar Fra : gulle |
Dato : 13-02-02 22:36 |
|
Og hvem er så indehaver af dette reg. varemærke.... og hvem bruger det?
| |
|
|