Just nu i M3-nätverket
Jump to content

Citrix Secure Gateway - något att ha?


Weyland

Recommended Posts

Någon som kör eller har något att säga om Secure Gateway, jag funderar på om man kunde använda den och helt skippa konceptet med VPN för att ansluta småkontor till företagets nät?

 

Om man kommer åt publicerade program eller ett publicerat skrivbord via webbläsaren på ett hyfsat säkert sätt (SSL) (förutsatt att en lokal skrivare mappas upp och kan användas) - varför satsa på VPN-hårdvara och klienter/routrar för stora summor pengar? :)

 

Bara en fundering...

 

--

.Wey

 

Future Hero Next Generati0n

 

Link to comment
Share on other sites

Jag har labbat lite med det på en workshop.

Det verkar väl vara hyfsat, dock en STOR brist.

 

Det verkar inte som om (åtminstonde enligt Eiknes-killen som höll workshopen) det går att implementera tredjeparts autensieringsmoduler.

Själv litar jag inte på att mina användare har tillräckligt bra lösenord (utan att skriva ner dem på en lapp). Trots att det är krypterat är det inget som hindrar att "den-elake-hackern" testar att logga in med 'kalle' och lösen 'blomma1'.

 

Vi lekte lite med tanken att implementera det stödet på windows-nivå. Har testat och det fungerade med RSAs SecureID-lösning. Då krävs engångslösenord vid vanliga windows-inloggningen. Problemet är att vi inte vill ha det när man kör internt. Alltså skulle det krävas dubbla TSar osv., lite jobbigt.

 

Om du litar på användarnas lösenord så är det väl ok. Dock tyckte jag Secure Gateway och NFuse (med någon form av forwarding) typ gjorde samma sak. De kunde inte riktigt förklara varför. Det ända vettiga svar jag fick var; "Men via NFuse går ju inte trafiken via en proxy". Saken är ju den att det ända proxyn gör är forwarda, krypteringen kunde man lösa ändå. Då tyckte han att det var ju bra att inte själva Citrix-serverns ip inte behövde synas mot internet. Själv tycker jag det låter som lite Security by Obscurity, man forwardas ju ändå dit. Hade varit en annan sak om man kunde köra Secure Gateway på sin redan befintliga unix-maskin, men det verkade inte gå.

 

/Mn

 

Link to comment
Share on other sites

CSG verkar inte vara helt stabilt. Tänket du har är helt rätt. Ta en titt på produkter som mVPN från LemonPlanet eller MobilityGuard från Infoguard. Båda två är produkter som gör precis det du vill.

 

 

Link to comment
Share on other sites

Intressant koncept i alla fall... men med ett par i mina ögon brister vid lite eftertanke:

 

Fortsatt åtkomst till internet medans icasessionen är uppkopplad. Vet inte om det är en säkerhetsrisk, men det känns litegrann som det?

 

Ingen riktig tunnel, pushade applikationer och händelser (säg kontraktsutskrifter ifrån en tredje server direkt mot en skrivare) kommer inte att fungera - men det är inga problem att kringgå genom att helt enkelt alltid skriva ut via icasessionen eller mot acrobat.

 

Um.. iofs... skit, nu blev det juh klurigt - sitter å vilar på en investering i VPN-hårdvara som ska samverka med en liknande investering i citrixservrar å tunna klienter... :)

 

Jag ska titta på mVPN och MG...

 

--

.Wey

 

Future Hero Next Generati0n

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...