Ultimo aggiornamento: 05.04.2009

Sicurezza

Componenti di sicurezza





Introduzione


A dipendenza delle esigenze di sicurezza, puoi configurare i componenti di sicurezza messi a disposizione da Presentation Server.

Crittografia ICA (SecureICA)

Tramite la crittografia ICA (SecureICA) puoi crittografare le informazioni trasmesse tra i server che eseguono Presentation Server ed i client. La crittografia ICA offre un livello di sicurezza molto elevato. La lettura delle informazioni crittografate da parte di terzi è praticamente impossibile.

NOTA: SecureICA non è raccomandato per l’utilizzo su reti pubbliche come ad esempio internet.

In generale puoi utilizzare SecureICA nei casi seguenti:

  • Crittografia dei dati sulle reti interne (intranet), LAN e WAN

  • Crittografia dei dati trasmessi da client MS-DOS e Windows 16 bit

  • Crittografia dei dati trasmessi da client meno recenti che non possono essere aggiornati alla nuova versione

  • Quando il pericolo di un attacco del tipo ’man-in-the-middle’ è quasi inesistente


Il capitolo Citrix Presentation Server - Connessioni ICA descrive la configurazione di SecureICA tramite l’utilità di configurazione Citrix.


Citrix SSL Relay

Il relay SSL permette di crittografare i dati tra server e client tramite i protocolli SSL e TLS.

In generale puoi utilizzare il relay SSL nei casi seguenti:

  • Il numero dei server che eseguono Presentation Server è molto ridotto (al massimo 5 server)

  • Non è necessario crittografare l’accesso della DMZ

  • L’indirizzo IP del server non deve essere nascosto oppure utilizzi NAT

  • Hai bisogno di una crittografia diretta tra server e client


Citrix Secure Gateway

Utilizza Secure Gateway per crittografare le informazioni tramite SSL/TLS tra un gateway internet ed i client. Secure Gateway offre un unico punto di accesso sicuro per accedere ai server che eseguono Presentation Server.

L’utilizzo di Secure Gateway è raccomandato nei seguenti casi:

  • Hai un numero elevato di Presentation Server (maggiore di 5)

  • Gli indirizzi IP interni non devono essere visibili dall’esterno

  • Vuoi utilizzare la sicurezza anche per la DMZ

  • Vuoi implementare un tipo di accesso con protezione a due livelli per l’interfaccia web


Soluzione VPN

Puoi utilizzare VPN per creare un tunnel crittografato tra località differenti. In generale, la soluzione VPN è indicata nei casi seguenti:

  • Necessiti di un’autenticazione a doppio livello

  • Vuoi crittografare tutto il traffico di rete indipendentemente dal protocollo ICA

  • Vuoi proteggere il traffico della DMZ

  • In generale, gli utenti utilizzano sempre la stessa postazione di lavoro

  • Utilizza IPSec


Kerberos

Leggi il capitolo Citrix Presentation Server - Kerberos per ulteriori informazioni.


Relay SSL


Il relay SSL crittografa i dati trasmessi tra il client ed il server che esegue Presentation Server. Il relay SSL e il relativo certificato di sicurezza SSL devono essere configurati su ogni server. Ogni client verifica il certificato SSL del server tramite una lista delle autorità di certificazione attendibili e si autentifica con il relay SSL. Dopo l’autenticazione, i dati crittografati trasmessi dal client sono elaborati dal relay SSL ed inviati al server. I dati trasmessi dal server al client sono prima crittografati dal relay SSL.

Leggi il capitolo Sicurezza - Relay SSL per ulteriori informazioni su questo componente.


Secure Gateway


L’utilizzo di Secure Gateway offre i vantaggi seguenti:

  • Non devi pubblicare gli indirizzi IP di ogni server che esegue Presentation Server

  • La gestione dei certificati SSL è più semplice

  • Accesso e crittografia sono eseguiti in un unico punto centrale

  • Secure Gateway è un server dedicato, separato dai Presentation Server. Secure Gateway facilita la configurazione dei firewall perché utilizza una porta di comunicazione standard (SSL, TCP/443)


Secure Gateway offre una buona scalabilità.

La trasmissione dei dati tra i client e Secure Gateway è crittografata. È pure possibile utilizzare SecureICA per proteggere la comunicazione tra Secure Gateway ed i server Presentation Server nella rete interna.

Leggi il capitolo Secure Gateway - Funzionalità per ulteriori informazioni su questo componente.


Crittografia ICA


A differenza della crittografia SSL/SSL, SecureICA (senza componenti supplementari) non offre nessuna verifica del server. Le informazioni, almeno teoricamente, potrebbero essere lette e deviate verso un altro server in internet. SecureICA non offre nessuna verifica dell’integrità per la trasmissione dei dati. Per questi motivi, SecureICA deve essere preso in considerazione solamente come complemento alla strategia di sicurezza e non come unica soluzione finale.


Links


SECUDE IT Security
Utimaco Safeware AG
RSA Secured Partner Solutions Directory
SafeWord per Citrix, pagina dimostrativa


Free counter and web stats