PreLogin VPN über NetScaler

Always On before logon Funktion des Netscaler Gateway

Inzwischen dürfte sich rumgesprochen haben, das über die Netscaler Gateway Funktion des Netscalers nicht nur ein Zugriff auf ein XenDesktop realisiert werden kann, sondern auch Web-Applikationen und ein vollwertiges SSL VPN integriert werden können. 

Weitaus weniger bekannt ist, dass mit der Version 11.1 der Netscaler Firmware zur SSL VPN Funktion eine Always On Funktion bzw. jetzt zusätzlich noch eine „Always on service“ Funktion hinzugekommen ist. 

Bisher konnten sich Benutzer an einem Notebook anmelden um dann eine Netscaler Gateway Verbindung aufzubauen und dann gesteuert über ein Session Profile ein Full VPN aufbauen.  

Die bisherige Funktion konnte prinzipbedingt einige Situationen nicht abdecken: 

  • Benutzer startet das Notebook außerhalb des Unternehmensnetzes und benötigt Support bei der VPN/ Gateway Anmeldung. 
  • Ein Benutzer wechselt mit einem eingeschalteten Gerät aus dem VPN (z.B. Internet Cafe/ Homeoffice etc.) in das Unternehmensnetz oder will mit einem Gerät transparent weiterarbeiten welches vorher im Unternehmensnetz war. 
  • Das Unternehmen möchte den Netzwerkzugriff bei abgebautem VPN kontrollieren. 
  • Neue Benutzer ohne Cached Credentials müssen sich am mobilen Gerät anmelden. 
  • Das Notebook soll bereits vor dem Windows Logon im Netz sein um es mit Policies oder Softwareverteilung zu versorgen. 

Wie funktioniert der Always on Service bzw. die neue Funktion „Always on before logon“? 

Die Always On Funktion verbindet ein mobiles Endgerät mit einem VPN Endpunkt, mit dem es zuvor manuell verbunden wurde. 

Abhängig davon ob sich das mobile Endgerät im Unternehmensnetz oder „on the road“ befindet, wird die VPN Verbindung automatisch auf und abgebaut. 

Die Funktion „always on before logon“ wird über den „Always on service“ realisiert (Ablauf im Modus „Always on sErvcie with a user persona“): 

  • Nach dem Einschalten des Geräts wird eine Verbindung, der „Machine level tunnel“ zum Netscaler Gateway mit einem Device Zertifikat aufgebaut 
Alwayson with user personal flow

(Bild von Citrix) 

  • Der  Benutzer meldet sich mit seinem AD Benutzer an das Gerät an 
  • Nach der Anmeldung wird der Benutzer ggf. nach seinem zweiten Faktor befragt und nach erfolgreicher Verifizierung der „Machine Level tunnel“ durch einen „User level Tunnel ersetzt“ 
  • Wenn der Benuter sich abmeldet wird der „User Level Tunnel“ wieder durch den „Machine level tunnel“ ersetzt 

Ob und welcher Tunnel aufgebaut ist, lässt sich bei einem gesperrten Gerät über die Sign-In Options sehen (service mode= Machne level tunnel): 

Windows credential manager screen

(Bild von Citrix) 

Wie funktioniert die normale „Always on“ Funktion ? 

Sollte keine primäre Netzwerkverbindung vorhanden sein, wartet der Always on Service im Hintergrund auf den Verbindungsaufbau. 

Nach der neuen „always on before logon“ Funktionalität greift die bereits länger vorhandene „always on“ Funktion. 

Durch ein Always On Profile auf dem Netscaler kann kontrolliert werden, ob die VPN Verbindung aufgebaut bleiben soll, wenn das Gerät sich im Unternehmensnetzwerk („Location based VPN“) befindet oder was passieren soll wenn kein VPN Tunnel aufgebaut werden kann („Network Access on VPN Failure)“. Über das Setting „Full Access“ kann normaler Netzwerkzugriff und logon an jedem anderen Netscakler Gateway als Backup freigeschaltet werden. 

Citrix ADC vpx 
Configuration X 
@ https:// 
10.20.lO.lOO 
/menu/n 
Citrix ADC vpx (3000) 
Reporting 
HA Status 
Primary 
Documentation 
Ill \ 
Partition v 
default 
Downloads 
nsroot 
Dashboard 
Configuration 
O Configure AlwaysON Profile 
Name 
aonprof_mwde 
Location Based VPN* 
Remote 
Client Control* 
ALLOW 
Network Access On VPN Failure* 
Full Access 
OK 
Close

(Bild von br/ MWDE) 

Systemanforderungen 

AlwaysOn service Windows version Citrix ADC and Windows VPN plug-in version 
Always on service without a user persona Windows 7 and later No recommendation on specific Citrix ADC version. VPN plug-in must be version 13.0.36.xx and later or 12.1.53.xx and later. 
Always on service with a user persona Windows 8 and later Citrix ADC and VPN plug-in must be version 13.0.41.xx and later. 
   

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html  

„The expression is_aoservice is valid from Citrix Gateway version 13.0 build 41.20 and later.“ 

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html 

Welche Schritte sind zur Konfiguration von „Always on service with a user persona“ notwendig? 

  1. Für ein bestehendes Netscaler Gateway  muss ein Authentication Profile mit einem neuen AAA Authenticationserver 
    erzeugt werden (sofern noch kein Netscaler N-Factor im Einsatz ist) 
  2. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice“ prüft und die Action „sys.client_expr(“device-cert_0_0”)“ triggert (Binden mit Prio 100).  
  3. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice.not“ prüft den Actiontyp „No_AUTHN“ hat (Binden mit Prio 110)  
    als „Next Factor“ wird eine LDAP Authentication Policy hinterlegt. 

Weiterführende Links: 

Grundlegende Always On Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson.html

Neue Always On Servcie / before Logon Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html

Konfiguration der „before Logon Funktion“: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html

EPA mit Device Zertifikation: 

https://docs.citrix.com/en-us/citrix-gateway/13/device-certificate-in-nfactor-as-an-epa-component.html

Kriegsschauplatz Internet

Ein reißerischer Betreff, durchaus, aber wer regelmäßig einschlägige Branchennews konsumiert, der wird sicher festgestellt haben, dass die Zahl der „Online-Einbrüche“ und „Datendiebstähle“, oder zumindest die Berichterstattung darüber, seit einigen Monaten erheblich gestiegen ist. Vielleicht ist dies nur ein subjektiver Eindruck, aber selbst in den non-IT Medien waren Namen bekannter Opfer zu lesen, wie dem FBI, dem BKA, sämtlichen Sparten der Sony Gruppe und weiteren.

Gestohlen wurden u.a. geheime und vertrauliche Dokumente, Konto- und Adressdaten samt Passwörtern und was sonst nicht niet- und nagelfest war und als halbwegs interessant galt.

Neuerdings trifft es scheinbar auch vermehrt die weniger großen Unternehmen und Organisationen. Von der Handelskette Rewe war z.B. zu hören. Von den allgegenwärtigen DDoS-Attacken, die getreu ihrem Namen lediglich Dienste und Online-Angebote zeitweise zum Erliegen bringen, ganz zu schweigen.

Eine Web Application Firewall (kurz: WAF) ist eine gute Möglichkeit Erste Hilfe leisten zu können oder proaktiv Einbrüchen vorzubeugen. Sie arbeitet auf Applikationsebene (Layer 7) und kann somit Anfragen und Antworten auswerten und verändern. Eine Filterung ist sowohl mit Positiv- als auch mit Negativlisten möglich und es gibt verschiedene weitere Möglichkeiten bekannte Angriffe zu verhindern.

Die Lösung kann so z.B. auch eine Prüfung auf gültige Kreditkartennummern durchführen, um gezielt eine Übertragung dieser Daten nach außen zu verhindern. SQL Injections und CrossSiteScripting Angriffe können direkt in den Paketen durch harmlosen Code ersetzt werden. Die Manipulation von Formularen wird durch das Einfügen eines versteckten Feldes wirksam verhindert und bekannte Angriffsmuster können durch vom Hersteller gelieferte Signaturdateien erkannt werden.

Im einfachsten Fall werden beispielsweise nur Zugriffe über gelernte Positivlisten (vorher durchgeführte gutartige Requests) durchgelassen – eine sehr elegante Möglichkeit Web Applikationen sicherer zu machen. So haben wir zum Beispiel mit dem Citrix Netscaler ein starkes Werkzeug zur Hand, mit dem wir Web Applikationen absichern (und beschleunigen) können und der in der Platinum Edition auch noch eine vollständige Web Application Firewall mit hybridem (positiv und negativ kombinierbar) Sicherheitsmodell enthält.

Eine WAF filtert wirkungsvoll, an vorderster Front – prinzipiell sollte ein IT-System aber auch ohne so einen Filter sicher sein (Programmierung und Konfiguration). Aber wie immer gibt es keinen 100%-igen Schutz – und wenn es nur durch Insider-Wissen oder Social Engineering erlangte Zugriffswege sind, die „ganz normal“ die Systeme nutzen. Daher ist es für uns alle wichtig zu überlegen, wem wir welche Daten geben und wo wir sie lagern/bereitstellen.

Autoren: Thiemo Noack, Benjamin Rodewald