Implementierung von Citrix Netscaler

Success Story

INTERTEC-Hess GmbH

Die INTERTEC-Hess GmbH aus Neustadt an der Donau ist Hersteller von Schutzsystemen für hochempfindliche Feldinstrumentierung wie Analysegeräte, Mobilfunk- und Radargeräte, Signalanlagen, Transmitter u.Ä. Produktionsstandorte befinden sich in Deutschland, den USA und Kanada, Vertriebsniederlassungen darüber hinaus in Großbritannien, Indien, Malaysia, Korea, Russland und den Niederlanden.

NetScaler - die eierlegende Wollmilchsau von Citrix

Das Projekt

Gegenstand des Projekts war die Einführung von Citrix ShareFile sowie die Veröffentlichung (das Publishing) der Citrix-Umgebung einschließlich ShareFile über NetScaler, um den Zugriff über das Internet zu ermöglichen. Dabei ersetzte NetScaler im Sinne der Serverkonsolidierung die normalerweise für das ShareFile-Publishing benötigte ADFS-Farm mit mindestens zwei Servern. Da das NetScaler Gateway für das Publishing der Citrix-Umgebung sowieso erforderlich war, konnten im Zuge des Projekts zusätzliche Funktionen wie die SAML-Authentifizierung für ShareFile auf NetScaler verlagert werden. Somit muss nur ein Produkt verwaltet werden, was weniger Komplexität bei der Administration bedeutet.

INTERTEC-Hess hatte bereits die Einführung der Citrix-Umgebung einschließlich HDX3DPro sowie ein Storageprojekt mit netlogix verwirklicht. Daher fiel die Wahl des Dienstleisters auch bei diesem Projekt auf netlogix. Die Entscheidung für NetScaler kam durch den Besuch eines unserer 79er-Seminare und weitere vertiefende Gespräche zum Thema zustande.  

Warum ShareFile?

Citrix ShareFile ist ein Datenfreigabe- und Synchronisierungsservice für Unternehmen, der Sicherheitsprobleme, die häufig beim Einsatz von Consumerlösungen auftreten, vermeidet. Die User können Dateien, die sie für ihre Arbeit brauchen, immer und überall auf einem durch die Firma geschützten Storage ablegen und mit Kollegen gemeinsam nutzen, ohne direkt auf das Firmennetzwerk zugreifen zu müssen.

Als Alternative zu einem FTP-Server können über ShareFile Dateien von externen Partnern angefordert werden: Diese laden über einen zeitlich begrenzt gültigen Link das gewünschte Dokument hoch, der Anfordernde hat dann bequem Zugriff darauf. Hierzu ist kein User Account nötig (aber möglich, falls gewünscht).

Über das Outlook-Plug-in werden E-Mail-Anhänge ab einer individuell festlegbaren Größe oder generell automatisch als Link verschickt. Dies entlastet den Exchange-Server, da die Postfächer klein bleiben, und macht Backups schneller.

ShareFile kann sowohl intern als auch von unterwegs genutzt werden. Für die Synchronisation der Daten auf einem mobilen Endgerät mit denen im Unternehmen wird ein Synchronisierungsclient (Sync) benötigt; ohne diesen ist zwar der Zugriff auf alle Daten möglich, aber diese sind nicht lokal verfügbar.

Warum NetScaler?

Citrix NetScaler ist ein Application Delivery Controller (ADC). Das integrierte NetScaler Gateway sorgt für den sicheren Zugriff auf Anwendungen über das Internet, indem es eine strikte Trennung zwischen dem Internet und dem internen Datencenter gewährleistet. Citrix NetScaler war damit auch die perfekte Lösung für das Exchange-Publishing als Ersatz für das abgekündigte Microsoft Threat Management Gateway (TMG).

NetScaler fungiert außerdem als Reverse Proxy, also als die Instanz, die Informationen vom Server abruft und dem Client antwortet. Damit nicht jeder Client eine offene Verbindung zum Backendserver hat, bündelt NetScaler diese Verbindungen, sodass weniger TCP-Verbindungen nötig sind. Alle Verbindungen aus dem Internet werden mit dem Reverse Proxy als zusätzliche Sicherheitsstufe abgesichert.

NetScaler bietet verschiedene Möglichkeiten, um die SSL-Security anzupassen, unabhängig vom Backendsystem. Ein Beispiel sind Clients mit Windows XP: XP braucht SSLv3, einen seit einiger Zeit veralteten Verschlüsselungsstandard. Diese Veröffentlichung sollte man wegen Bedrohungen durch Poodle o.Ä. vermeiden. Daher soll diese Veröffentlichung nicht öffentlich sein (nicht über den Client), sondern direkt zwischen NetScaler und Backendsystem laufen. Somit ist auch bei derartigen (alten) Konstellationen ein Rating der Stufe A+ der Qualys SSL Labs möglich.

Eine weitere Funktion des NetScaler ist der HTTPS-Redirect: Da der gesamte HTTP-Verkehr sowohl ein- als auch ausgehend manipulierbar ist, können Websitebenutzer per Redirect zum sicheren, verschlüsselten HTTPS-Protokoll umgeleitet werden.

Mit NetScaler ist es möglich, sämtliche HTTP-Header-Informationen zu verändern, zu ergänzen oder zu entfernen. So kann beispielsweise auch der HSTS-Header (HTTP Strict Transport Security) hinzugefügt werden: Dieser sorgt dafür, dass der Client sich „merkt“, dass er eine URL nur noch per HTTPS aufrufen soll. Die grundsätzlich unsichere Anfrage wird also vom Browser gar nicht mehr ausgeführt. Dies muss jedoch vom Browser unterstützt werden. 

„Jetzt habt ihr es geschafft: Wir führen in unserer Außenstelle in Kanada auch eine NetScaler-Umgebung ein.“

Marc Weigl

Enterprise Administrator INTERTEC-Hess GmbH

Citrix-Publishing über NetScaler

Grundsätzlich bietet ShareFile zwei Anmeldemöglichkeiten: mit Clouddaten oder per SAML. Die SAML-Authentifizierung erfolgt normalerweise über ADFS vor Ort. Das SAML-Log-in hat den Vorteil, dass die Anmeldedaten der Nutzer nicht in der Cloud, sondern im Unternehmen liegen. Außerdem können die Mitarbeiter ihre vertrauten AD-Daten nutzen.

Citrix-Publishing über NetScaler

Grundsätzlich bietet ShareFile zwei Anmeldemöglichkeiten: mit Clouddaten oder per SAML. Die SAML-Authentifizierung erfolgt normalerweise über ADFS vor Ort. Das SAML-Log-in hat den Vorteil, dass die Anmeldedaten der Nutzer nicht in der Cloud, sondern im Unternehmen liegen. Außerdem können die Mitarbeiter ihre vertrauten AD-Daten nutzen.

Bei der Authentifizierung hat man die Wahl zwischen verschiedenen Methoden, sowohl über eine Ein- als auch eine Mehr-Faktor-Authentifizierung. INTERTEC wird aus Gründen der Zukunftssicherheit demnächst eine Mehr-Faktor-Authentifizierungslösung einführen. Dies war ein weiteres Argument für NetScaler, da dieser alle gängigen Lösungen unterstützt.

In ShareFile können Inhalte zwar nicht gruppenspezifisch zugänglich gemacht werden, aber die Anmeldung über NetScaler kann gruppenspezifisch verwaltet werden, sodass sich nur Mitglieder einer bestimmten AD-Gruppe bei NetScaler anmelden dürfen.

 Welche Dienste jede Gruppe verwenden darf, betrifft dabei nur den externen Zugriff, der unabhängig von den internen Berechtigungen der Usergruppen ist. 

Bei INTERTEC gibt es bereits eine gruppenspezifische Anmeldung: Die Einteilung in Gruppen für jeden Dienst (ActiveSync, OWA, Outlook Anywhere, ShareFile usw.) hat den Vorteil, dass sie der IT-Abteilung eine granulare Administration ermöglicht.

Neben der Authentifizierung läuft auch die Veröffentlichung von ShareFile als Reverse Proxy über NetScaler und hinter einer gemeinsamen IP-Adresse. Normalerweise werden für Anmeldedienst und Veröffentlichung zwei IPs benötigt. Bei NetScaler können mittels Content Switch verschiedene Dienste über eine IP ausgeliefert werden. Ebenso ist es möglich, anhand der HTTP-Header Informationen zu den Hostnamen auszulesen und so über eine einzige IP-Adresse nahezu beliebig viele URLs zu betreiben. 

Problemlose Installation aller Komponenten

Das Projekt konnte komplett remote umgesetzt werden, da NetScaler als virtuelle Appliance zum Einsatz kam. Zunächst erfolgte die Installation von ShareFile durch netlogix-Consultant Florian Scheler. Der nächste Schritt – durchgeführt vom netlogix-NetScaler-Experten Alexander Städtler – bestand aus dem ShareFile-Publishing einschließlich Authentifizierung. Im Anschluss wurden die NetScaler-Gateway-Funktionen konfiguriert sowie der Microsoft-Exchange-Server veröffentlicht. Den Abschluss bildete das Webserver-Publishing. Um die reibungslose Funktion des Systems überwachen zu können, wurde PRTG Network Monitor installiert und NetScaler an das Monitoringsystem angebunden.

„Früher erfolgte der Zugriff auf Citrix über ein SSL-VPN. Nach der Umstellung mussten wir nur noch eine URL an alle User weitergeben, über die der Zugriff auf die Citrix-Umgebung möglich ist. Diese wesentlich unkompliziertere Vorgehensweise hat dazu geführt, dass die Benutzer von Anfang an von der neuen Lösung überzeugt waren.“

Marc Weigl

Enterprise Administrator INTERTEC-Hess GmbH

Sie haben Fragen zum Thema Authentifizierung?