Скачать презентацию Sadržaj prezentacije Ukratko o Datateku i Скачать презентацию Sadržaj prezentacije Ukratko o Datateku i

cb1b092ac662ff1baff5e353054142dc.ppt

  • Количество слайдов: 103

Sadržaj prezentacije • • Ukratko o Datateku i Citrix rešenjima Citrix Net. Scaler Citrix Sadržaj prezentacije • • Ukratko o Datateku i Citrix rešenjima Citrix Net. Scaler Citrix Application Firewall Citrix Access Gateway

o Datatek-u • Ponuda kvalitetnih i inovativnih IT rešenja • Jedini CITRIX Gold Solution o Datatek-u • Ponuda kvalitetnih i inovativnih IT rešenja • Jedini CITRIX Gold Solution Advisor partner u regionu • Jedini Microsoft partner sa kompetencijom za virtuelizaciju • Saradnja sa klijentima motivisana njihovim realnim IT potrebama i problemima • Usluge: održavanje, konsolidacija, projektovanje • Mislimo zeleno

Datatek partneri Datatek partneri

Značajniji Datatek korisnici Značajniji Datatek korisnici

Citrix iskustva • Virtuelizacija desktopa: • Virtuelizacija aplikacija: • Virtuelizacija servera: Microsoft Sinergija 09, Citrix iskustva • Virtuelizacija desktopa: • Virtuelizacija aplikacija: • Virtuelizacija servera: Microsoft Sinergija 09, 10 Delta Holding Banca Intesa AD Beograd Dunav osiguranje Elektrodistribucija Beograd Mitsides Point AD Phoenix Pharma Nacionalna služba za zapošljavanje Vodovod Pančevo

CITRIX rešenja Net. Scaler Application Firewall Access Gateway CITRIX rešenja Net. Scaler Application Firewall Access Gateway

Poslovni izazovi • Povećanje radne snage na globalnom nivou • Potreba da se uradi Poslovni izazovi • Povećanje radne snage na globalnom nivou • Potreba da se uradi više uz manja ulaganja • Sve više poslovnih procesa na WEBu • Performanse, dostupnost i sigurnost su postali kritični za biznis

Web Apps sledeće generacije: bogate, složene, zahtevne Content Sharing Team Blogs Wikis Team Calendar Web Apps sledeće generacije: bogate, složene, zahtevne Content Sharing Team Blogs Wikis Team Calendar Microsoft Share. Point 2007

Citrix® Net. Scaler • Povećava iskorišćenost web servera za 60% • Eliminiše zastoj aplikacija Citrix® Net. Scaler • Povećava iskorišćenost web servera za 60% • Eliminiše zastoj aplikacija • Poboljšava performanse 5 x • Blokira 100% web napada Advanced web application delivery and load balancer

Rešenje za sisteme svih veličina MPX 21500 50 Gbps MPX 19500 35 Gbps MPX Rešenje za sisteme svih veličina MPX 21500 50 Gbps MPX 19500 35 Gbps MPX 17500 0. 5 Gbps 20 Gbps MPX 15500 MPX 12500 MPX 10500 MPX 9500 MPX 7500 MPX 5500 0. 5 Gbps 1 Gbps 3 Gbps 6 Gbps 10 Gbps 15 Gbps

"Pay As You Grow" princip 100 Gb ps SERVICE PROVIDER/TELCO/CLOUD + MPX INTERNET CENTRIC 21500 40 Gbp s MPX 19500 Net. Scaler Performance 20 Gbp s 35 Gb MPX 17500 ENTERPRISE 20 Gb MPX 15500 15 Gb 10 Gbp s MPX 12500 10 Gb MPX 10500 SMB (ISV) MPX 9500 6 Gb 3 Gb 1 Gb ps MPX 7500 1 Gb MPX 550 0 500 Mb 1 2 3 10 Applications 100’s Apps / Multi-tenancy 50 Gb

Trusted by Leading Enterprises and Web Properties Trusted by Leading Enterprises and Web Properties

Modeli Net. Scalera Model Portovi HTTP requests/ sec System SSL throughput, Throughput transactions/ (Gbps) Modeli Net. Scalera Model Portovi HTTP requests/ sec System SSL throughput, Throughput transactions/ (Gbps) sec 5500 4 x 10/1000 BASE-T 50, 000 0. 5 5, 000 0. 5 7500 8 x 10/1000 BASE-T 100, 000 1. 0 10, 000 1. 0 VPX Potreban server do 100, 000 do 3. 0 do 500 do 1. 0 Net. Scaler je uređaj za koji nije potrebno kupovati licence

Citrix® Application firewall • Rešenje za sveobuhvatnu sigurnost aplikacija koje blokira gotovo sve poznate Citrix® Application firewall • Rešenje za sveobuhvatnu sigurnost aplikacija koje blokira gotovo sve poznate i mnoge nepoznate vidove napada

Citrix® Access Gateway • Prilagodljiv SSL VPN pristup mrežnim resursima • Siguran pristup aplikacijama Citrix® Access Gateway • Prilagodljiv SSL VPN pristup mrežnim resursima • Siguran pristup aplikacijama • Udaljeni pristup za fajlove, email, intranet site-ove

Citrix Net. Scaler Citrix Net. Scaler

Citrix Net. Scaler • Multifunkcionalni uređaj • Napredne networking mogućnosti • Napredne mogućnosti za Citrix Net. Scaler • Multifunkcionalni uređaj • Napredne networking mogućnosti • Napredne mogućnosti za optimizaciju web servisa • Dodatni moduli: – Access Gateway – SSL VPN – Application firewall (IPS/IDS)

Citrix Net. Scaler • • Operativni sistem: Modifikovani Free. BSD 6. 2 UNIX Custom Citrix Net. Scaler • • Operativni sistem: Modifikovani Free. BSD 6. 2 UNIX Custom mrežni stek optimizovan za veliki broj konekcija Net. Scaler firmware je smešten na compact flash karticu Interni hard disk se koristi za smeštaj ostatka operativnog sistema + za keširanje i slično

Menadžment - CLI • SSH pristup, ili serijski port • Podrazumevani login: nsroot/nsroot Menadžment - CLI • SSH pristup, ili serijski port • Podrazumevani login: nsroot/nsroot

Menadžment - GUI • HTTP/HTTPS interfejs sa Java apletima • Postoji i offline konfigurator, Menadžment - GUI • HTTP/HTTPS interfejs sa Java apletima • Postoji i offline konfigurator, takođe na Java platformi

Idealno pozicioniranje • Ispred farme web servera, a iza rutera/firewall-a • Net. Scaler i Idealno pozicioniranje • Ispred farme web servera, a iza rutera/firewall-a • Net. Scaler i sam podržava mnoge ruter/firewall mogućnosti, ali mu to nije primarna uloga

Citrix Net. Scaler - Networking Citrix Net. Scaler - Networking

L 2 mogućnosti • U fabričkoj konfiguraciji, Net. Scaler predstavlja L 2 -bridge • L 2 mogućnosti • U fabričkoj konfiguraciji, Net. Scaler predstavlja L 2 -bridge • Implementirana je potpuna podrška za 802. 1 q VLAN-ove – Klasični (access) portovi – Tagovani (trunk) portovi • Moguća je agregacija više fizičkih portova u jedan logički pomoću LACP protokola • Bridge. Groups – jednostavan način za „sastavljanje“ više VLANova • VMAC – mogućnost deljenja iste MAC adrese između 2 uređaja u High Availability konfiguracijama

L 3 mogućnosti • Ukoliko konfigurišemo više VLAN-ova, Net. Scaler može (mada ne mora) L 3 mogućnosti • Ukoliko konfigurišemo više VLAN-ova, Net. Scaler može (mada ne mora) da rutira saobraćaj između njih, tj. postaje L 3 switch • Pored ovoga, postoji i podrška za: – – – Statičke rute RIP, OSPF i BGP protokole rutiranja Policy Based Routing (PBR) Mogućnost monitoringa ruta i dinamičkog menjanja njihove metrike NAT u 2 smera, RNAT (source) i INAT (destination)

Firewall mogućnosti • L 2 firewall – Filtriranje po MAC adresama – Filtriranje po Firewall mogućnosti • L 2 firewall – Filtriranje po MAC adresama – Filtriranje po VLAN tagovima – Logovanje • L 3/L 4 firewall – – Filtriranje po IP protokolima (ESP, AH, GRE, ICMP. . . ) Filtriranje po TCP/UDP portovima Filtriranje po tipu ICMP poruka Logovanje • L 7 firewall – Application firewall (detaljno opisan kasnije)

IPv 6 • Javne IPv 4 adrese će ubrzo biti potpuno potrošene ! • IPv 6 • Javne IPv 4 adrese će ubrzo biti potpuno potrošene ! • Citrix Net. Scaler ima potpunu podršku za IPv 6 protokol

DNS • Citrix Net. Scaler poseduje integrisani, potpuno funkcionalan DNS server baziran na BIND-u DNS • Citrix Net. Scaler poseduje integrisani, potpuno funkcionalan DNS server baziran na BIND-u • Neka ograničenja ipak postoje, npr. ne možemo raditi transfer zona, samo statički unosi • Takođe, Net. Scaler možemo koristiti i kao DNS forwarder ka već postojećem DNS serveru • Podrška za IPv 6 – AAAA rekordi

Optimizacija Web servisa Optimizacija Web servisa

Optimizacija web servisa • • • Load balancing Global Site Load Balancing – GSLB Optimizacija web servisa • • • Load balancing Global Site Load Balancing – GSLB Content switching SSL offload HTTP compression HTML injection Responder Rewrite Cache redirection/Integrated caching

Load balancing Load balancing

Load balancing • Problem: – 1 fizički HTTP server ne može da opsluži veliki Load balancing • Problem: – 1 fizički HTTP server ne može da opsluži veliki broj dolaznih zahteva • Rešenje: – Raspodeliti zahteve na više fizičkih servera sa identičnim servisom i sadržajem • Net. Scaler omogućava kreiranje jednog „virtualnog“ HTTP servera sa jedinstvenom IP adresom, koji služi kao front-end za servere između kojih balansiramo opterećenje

Load balancing • Algoritmi za balansiranje saobraćaja između servera: – – – – Round-robin Load balancing • Algoritmi za balansiranje saobraćaja između servera: – – – – Round-robin Least connection Least response time URL hash Source IP hash Destination IP hash Domain name hash. . . još mnogi drugi

Load balancing • Problem: – Kako balansirati u slučaju dinamičke web aplikacije, tj. kada Load balancing • Problem: – Kako balansirati u slučaju dinamičke web aplikacije, tj. kada postoji klijentska sesija ? • Ukoliko bi zahtevi istog klijenta završavali na različitim serverima, sesija bi stalno „pucala“ • Rešenje: Persistence – Sesija sa klijentom se identifikuje na neki način, i svi budući zahtevi tog klijenta završavaju na istom serveru – Mnoge metode: IP adrese, SSL identifikacija, cookie insert – U praksi se najčešće koristi cookie insert, najsigurniji metod

Load balancing • Za svaki od servisa koji pripadaju virtualnom serveru se mogu definisati Load balancing • Za svaki od servisa koji pripadaju virtualnom serveru se mogu definisati monitori koji prate njegovo stanje • Tipovi monitora: arp, icmp, tcp, udp, https. . . • Na ovaj način Net. Scaler može brzo detektovati otkaz/oporavak servisa i primeniti odgovarajuće mere (izbacivanje/dodavanje servisa u load balancing, preusmeravanje na backup server, itd. )

GSLB GSLB

GSLB • Load Balancing pretpostavlja da su svi serveri (i Net. Scaler) na jednoj GSLB • Load Balancing pretpostavlja da su svi serveri (i Net. Scaler) na jednoj lokaciji • Problem: Šta ako imamo isti servis na više fizičkih lokacija? • Primer: – Data centri u Nišu, Novom Sadu i Beogradu, sa identičnim servisima – Potrebno je da klijent pristupa servisu kroz jedinstveni URL http: //www. servis. com, transparentno, i da bude upućen u „najbliži“ data centar – U slučaju da neki centar otkaže, ostali treba da preuzmu njegovu ulogu dok se problem ne otkloni • Net. Scaler ovo omogućava kroz Global Site Load Balancing (GSLB) funkcionalnost

GSLB • Kako ovo funkcioniše? – U svakom data centru se nalazi po jedan GSLB • Kako ovo funkcioniše? – U svakom data centru se nalazi po jedan Net. Scaler – Svaki Net. Scaler je konfigurisan kao autoritativni DNS za zonu kojoj pripada servis (u našem primeru, servis. com) – Kada klijent želi da otvori URL http: //www. servis. com, on najpre šalje DNS upit za www. servis. com nekom od Net. Scaler-a (prvom dostupnom, svi su ravnopravni) – Net. Scaler-i se međusobno „dogovaraju“ koji će opslužiti klijenta – Klijent dobija adresu koja pripada „najbližem“ data centru kao odgovor na svoj DNS upit, i potom prilazi servisima tog data centra

GSLB GSLB

GSLB • Pitanje: Šta to znači „najbliži“ data centar? • Fizička udaljenost nije bitna GSLB • Pitanje: Šta to znači „najbliži“ data centar? • Fizička udaljenost nije bitna • Svaki od data centara izračunava metriku na osnovu 3 parametra: – Opterećenje data centra – Podaci o mreži: RTT (Round Trip Time) između lokalnog DNS-a klijenta i svakog od data centara – Persistence: Ista situacija kao i kod Load Balancing-a • Za razmenu ovih podataka se koristi Metric Exchange Protocol (MEP) • MEP koristi TCP port 3011; Mora biti otvoren!

GSLB • Pored MEP-a, za određivanje metrike je moguće koristiti i statičke baze podataka GSLB • Pored MEP-a, za određivanje metrike je moguće koristiti i statičke baze podataka koje vezuju IP adresu i geografsku lokaciju • Postoji mogućnost importovanja ovih baza u nekoliko formata, kao i pojedinačnih ručnih unosa • Upotrebljivost zavisi od geografskog rasporeda centara, ako su oni geografski blizu, bolje je koristiti MEP • Ukoliko jedan data centar postane preopterećen, višak zahteva se može usmeriti ka ostalima i pored toga što nemaju bolju metriku (Spillover)

GSLB • GSLB se vrši isključivo između virtualnih servera, dakle u svakom data centru GSLB • GSLB se vrši isključivo između virtualnih servera, dakle u svakom data centru mora biti konfigurisan Load Balancing • Ako imamo samo jednu instancu servisa na lokaciji, možemo napraviti trivijalni load-balancing sa samo jednim back-end serverom • Kao i kod Load Balancing-a, u slučaju otkaza data centra svi zahtevi se preusmeravaju na ostale • Slaba tačka: DNS cache! • Klijenti koji su koristili data centar koji je otkazao neće biti preusmereni na ostale data centre do novog DNS zahteva!

PKI mogućnosti PKI mogućnosti

Net. Scaler - PKI • Citrix Net. Scaler poseduje kompletne Certificate Authority mogućnosti – Net. Scaler - PKI • Citrix Net. Scaler poseduje kompletne Certificate Authority mogućnosti – – – – Generisanje RSA i DSA ključeva Generisanje zahteva za izdavanje digitalnih sertifikata Potpisivanje zahteva i izdavanje digitalnih sertifikata Import/export sertifikata u različitim formatima Kreiranje Diffie/Hellman ključeva Podrška za 34 različita algoritma za šifrovanje i hash-ovanje Provera povučenih sertifikata (CRL)

Net. Scaler - PKI • Zašto nam je sve ovo potrebno? • Autentifikacija servera Net. Scaler - PKI • Zašto nam je sve ovo potrebno? • Autentifikacija servera i klijenata – Uspostavljanje lanaca poverenja sa drugim serverima/servisima – Klijent može potvrditi kome pripada servis kome on pristupa – Autentifikacija klijenata koji pristupaju web servisima (npr. smart kartice! ) – Autentifikacija VPN klijenata • Kriptovani servisi (HTTPS, SSL/TLS itd. ) – SSL Offload (detaljnije u nastavku)

Net. Scaler - PKI • Self-Signed sertifikati vs. Trusted sertifikati • Self-Signed: – Net. Net. Scaler - PKI • Self-Signed sertifikati vs. Trusted sertifikati • Self-Signed: – Net. Scaler sam generiše root sertifikat, i koristi ga za izdavanje ostalih sertifikata – Da bi klijenti pristupali zaštićenim servisima, root sertifikat se mora ručno instalirati na svaku klijentsku mašinu • Trusted sertifikati – Root sertifikat je izdat od strane neke zvanične ustanove – Instalacija na klijentskoj strani nije potrebna – Ovo košta!

SSL offload SSL offload

SSL offload • Želimo da zaštitimo naše HTTP servise tako što ćemo kriptovati saobraćaj SSL offload • Želimo da zaštitimo naše HTTP servise tako što ćemo kriptovati saobraćaj i uvesti proveru serverskog (a možda i klijentskog) digitalnog sertifikata za svaku sesiju, tj. da uvedemo HTTPS. • Problemi: – Kripto operacije su procesorski zahtevne – Potrebna je rekonfiguracija svakog web servera – Kako izvesti load balancing? Ovde je perzistencija sesije OBAVEZNA!

SSL offload • Rešenje: SSL offload virtual server • Esencijalno, Load Balancing virtuelni server SSL offload • Rešenje: SSL offload virtual server • Esencijalno, Load Balancing virtuelni server sa HTTPS frontend-om • Back-end može biti HTTP (poželjno) ili HTTPS • Sve kripto operacije i briga o sertifikatima se prebacuju na Net. Scaler • Ovo nije problem, jer Net. Scaler ima optimizovani crypto engine, a jači modeli i hardverske kartice za SSL akceleraciju

SSL offload • Prednosti: • Mnogo lakše održavanje, centralizovana briga o enkripciji i autentifikaciji SSL offload • Prednosti: • Mnogo lakše održavanje, centralizovana briga o enkripciji i autentifikaciji servera/klijenata • Load balancing sa svim već navedenim mogućnostima: – – – Različiti balancing algoritmi Monitori Persistence Spillover GSLB • Jednostavna implementacija cert/smartcard autentifikacije za klijente koji pristupaju servisima

Pauza! Pauza!

Content switching Content switching

Content switching • Context switching predstavlja usmeravanje klijenta ka odgovarajućem sadržaju u zavisnosti od Content switching • Context switching predstavlja usmeravanje klijenta ka odgovarajućem sadržaju u zavisnosti od parametara u samom klijentskom zahtevu • Primer 1: Web stranica sa video sadržajem: HTML stoji na jednom serveru, video na drugom, a klijent sve vidi kao jednu stranicu • Primer 2: Različite stranice za različite klijente: Svi klijenti otvaraju isti URL, ali se IE klijentima otvara jedna stranica, Mozilla klijentima druga, mobilnim uređajima treća. . . • Primer 3: Preusmeravanje klijenta na odgovarajuću stranicu u zavisnosti od jezika koji klijent koristi

Content switching • Potrebno je da konfigurišemo po jedan virtualni server za svaki back-end Content switching • Potrebno je da konfigurišemo po jedan virtualni server za svaki back-end server (ili svaku grupu back-end servera, ukoliko istovremeno koristimo Load Balancing) • Zatim kreiramo CS server koji služi kao front end za ove virtualne servere • Na CS serveru se definišu polise oblika: – Ukoliko zahtev klijenta X 1 ispunjava uslov Y 1, pošalji ga na server Z 1 – Ukoliko zahtev klijenta X 1 ispunjava uslov Y 2, pošalji ga na server Z 2 –. . . • Rad CS servera je transparentan za klijente

Content switching • Tipičan klijentski zahtev: GET /index. php HTTP/1. 1 Host: www. bsdserbia. Content switching • Tipičan klijentski zahtev: GET /index. php HTTP/1. 1 Host: www. bsdserbia. org User-Agent: Mozilla/5. 0 (Windows; U; Windows NT 5. 1; en-US) Apple. Web. Kit/534. 13 (KHTML, like Gecko) Chrome/9. 0. 597. 98 Safari/534. 13 Accept-Encoding: gzip, deflate, sdch Accept-Language: en-US, en; q=0. 8 Accept-Charset: ISO-8859 -1, utf-8; q=0. 7, *; q=0. 3 • On predstavlja, zajedno sa mrežnim parametrima klijenta, izvor informacija za context switching

Content switching • Primeri polisa: – – – – CLIENT. ETHER. SRCMAC. EQ( Content switching • Primeri polisa: – – – – CLIENT. ETHER. SRCMAC. EQ("00: 27: 5 E: 32: BA: C 7") CLIENT. IP. SRC. EQ("192. 168. 0. 1") HTTP. REQ. HEADER("Accept-Language"). CONTAINS("en-US") HTTP. REQ. HEADER("User-Agent"). CONTAINS("Chrome") HTTP. REQ. HOSTNAME. SERVER. EQ("www. test. com") HTTP. REQ. HOSTNAME. PORT. EQ("8080") HTTP. REQ. URL. PATH. CONTAINS("/images/hires/"). . . • Polise pružaju izuzetnu fleksibilnost u pogledu kriterijuma odlučivanja

HTTP compression http: //angdemo. citrix. com HTTP compression http: //angdemo. citrix. com

HTTP compression • Svaki Web server ima mogućnost kompresije sadržaja koji isporučuje, radi brže HTTP compression • Svaki Web server ima mogućnost kompresije sadržaja koji isporučuje, radi brže isporuke • Kompresija najviše pomaže kod teksta, statičkog HTML-a, i sl. • Međutim, ova kompresija troši procesorsko vreme, tako da njeno uključivanje na jako zauzetim web serverima može negativno uticati na performanse • Nalik na SSL offload, Citrix Net. Scaler može na sebe preuzeti i kompresiju web sadržaja, pored enkripcije • Prednosti: Rasterećenje servera i centralizovani menadžment HTTP kompresije

HTTP compression • Kako ovo funkcioniše: – Klijent šalje HTTP zahtev: GET /encrypted-area HTTP/1. HTTP compression • Kako ovo funkcioniše: – Klijent šalje HTTP zahtev: GET /encrypted-area HTTP/1. 1 Host: www. example. com. . . Accept-Encoding: gzip, deflate. . . – U zahtevu su navedeni tipovi kompresije koje klijent podržava – Server odgovara komprimovanim sadržajem HTTP/1. 1 200 OK. . . Content-Length: 438 Connection: close Content-Type: text/html; charset=UTF-8 Content-Encoding: gzip. . .

HTTP compression • Net. Scaler podržava 2 tipa kompresije: GZIP i DEFLATE – Klasičan HTTP compression • Net. Scaler podržava 2 tipa kompresije: GZIP i DEFLATE – Klasičan metod kompresije, osnova svih ZIP kompresora – GZIP – Enkapsulirani deflate kome su dodati metapodaci za oporavak od greške • DEFLATE je brži, GZIP nudi lakši oporavak u slučaju greške • Ne isplati se kompresovati sav saobraćaj (na primer, video i slike su gotovo sigurno već kompresovani) • Za selekciju saobraćaja koji želimo da kompresujemo, koristimo polise • Polise se vezuju za bilo koji virtualni server (Load. Balancing, SSL offload, Context switching. . . )

HTTP compression • Parametri po kojima polise mogu vršiti selekciju: – – – Parametri HTTP compression • Parametri po kojima polise mogu vršiti selekciju: – – – Parametri klijenta (mrežni parametri, klijentski browser. . . ) URL (samo deo sajta npr. /home/images ili po ekstenziji /*. txt, /*. html) MIME tip: text/html, application/msword. . . Vreme (samo u određenim časovima. . . ) Mnogi drugi. . .

HTML injection HTML injection

HTML injection • Omogućava ubacivanje proizvoljnog sadržaja u HTTP stranice koje se vraćaju klijentu HTML injection • Omogućava ubacivanje proizvoljnog sadržaja u HTTP stranice koje se vraćaju klijentu • Polise omogućavaju selekciju klijentskih zahteva po raznovrsnim kriterijumima: HTTP header opcije, URL, mrežni parametri. . . • Korisno za postavljanje HTTP header opcija, podešavanje stranica prema tipu browser-a, obaveštenja određenim korisnicima. . .

Responder Responder

Responder • Jednostavan modul koji omogućava Net. Scaler-u da pošalje predefinisan odgovor na određene Responder • Jednostavan modul koji omogućava Net. Scaler-u da pošalje predefinisan odgovor na određene HTTP zahteve koji stižu od klijenta • Ovo je vrlo česta situacija. Primene: – Klijente treba obavestiti da neki resurs više nije dostupan i da je premešten – Klijente treba obavestiti da pristup nekom delu servera nije dozvoljen – „Under construction“ • Pomoću Net. Scaler-a, ovakve poslove možemo centralizovati

Responder • Druga namena respondera: – Slanje HTTP redirect poruka • Preusmeravanje klijenata sa Responder • Druga namena respondera: – Slanje HTTP redirect poruka • Preusmeravanje klijenata sa nepostojećih/pogrešnih stranica na prave stranice • Primer: – – Klijent otvara http: //example. com Net. Scaler šalje redirect poruku 301: https: //example. com Klijentski browser zatim sam otvara pravu stranicu: https: //example. com

Caching Caching

Caching • Net. Scaler može da kešira sadržaj koji se šalje klijentima kao odgovor Caching • Net. Scaler može da kešira sadržaj koji se šalje klijentima kao odgovor na njihove zahteve • Polise definišu koji se saobraćaj kešira (po URL-u, mrežnim parametrima klijenta, itd. . . ) • Može se koristiti interni cache server (Integrated caching), ili eksterni cache server (Cache redirection) • Različiti modovi rada (forward, reverse, transparent. . . )

High Availability High Availability

HA – visoka dostupnost • 2 Citrix Net. Scaler uređaja se mogu povezati tako HA – visoka dostupnost • 2 Citrix Net. Scaler uređaja se mogu povezati tako da čine HA klaster • Na ovaj način, oni pružaju otpornost na otkaz jednog od Net. Scaler-a za sve servise koje smo konfigurisali • HA se u ovom slučaju vrši po active-passive modelu: – Jedan od uređaja je stalno aktivan, i pruža sve servise – Drugi uređaj stoji u pripravnosti i proverava stanje prvog (heartbeat) – Ukoliko aktivni uređaj otkaže, pasivni preuzima njegovu ulogu • Mora se obratiti pažnja da HA mrežni link između 2 Net. Scalera bude pouzdan, inače možemo završiti u split-brain situaciji !!!

HA – visoka dostupnost • Preduslovi: – – 2 uređaja Dedicated HA link između HA – visoka dostupnost • Preduslovi: – – 2 uređaja Dedicated HA link između njih (preporučeno) root password mora biti identičan platforme i verzija softvera moraju biti identični • Konfiguracija na uređajima se automatski sinhronizuje • Za visoku dostupnost IP adresa na kojima se nalaze virtualni serveri se koriste virtualne MAC adrese, VMAC, koje se konfigurišu za svaki virtualni server

AAA - Application traffic AAA - Application traffic

AAA - Application traffic • Pristup svakom od virtualnih servera se može kontrolisati pomoću AAA - Application traffic • Pristup svakom od virtualnih servera se može kontrolisati pomoću AAA funkcija Net. Scaler-a • AAA = Authentication, Authorization, Accounting • Autentifikacija: Provera identiteta korisnika • Autorizacija: Definisanje prava kojima korisnik raspolaže u zavisnosti od grupe kojoj pripada • Accounting: Praćenje korisničke sesije i logovanje svih korisničkih akcija

AAA - Application traffic • Autentifikacija: – Korisnik pokušava da pristupi virtualnom serveru – AAA - Application traffic • Autentifikacija: – Korisnik pokušava da pristupi virtualnom serveru – Biva preusmeren na HTTPS stranicu za login – Po uspešnom unošenju kredencijala, biva preusmeren na server kome je prvobitno hteo da pristupi • Načini autentifikacije: – – – Lokalna RADIUS LDAP TACACS NT 4 CERT (username/password) (eksterni RADIUS server) (Open. LDAP, Active Directory. . . ) (Cisco proprietary, nalik na RADIUS) (Windows domain, SAMBA) (digitalni sertifikati)

AAA - Application traffic • Autorizacija: – Definiše se skup polisa koje se primenjuju AAA - Application traffic • Autorizacija: – Definiše se skup polisa koje se primenjuju na određenog korisnika – Polise mogu proveravati sve mrežne parametre klijenta i sve parametre iz klijentskog HTTP zahteva – Polise mogu zabraniti klijentu pristup delovima web servisa, definisati trajanje njegove sesije, period neaktivnosti posle koga biva isključen, dozvoliti pristup samo u određenom vremenskom intervalu, itd. . .

AAA - Application traffic • Accounting: – Sve akcije određenog klijenta mogu biti zabeležene AAA - Application traffic • Accounting: – Sve akcije određenog klijenta mogu biti zabeležene – Informacije mogu biti poslate na eksterni syslog server, ili čuvane lokalno na Net. Scaler-u • Pored ovoga, moguće je i modifikovati interfejs login stranice po želji i prilagoditi ga sopstvenim potrebama

Filtering • Vrsta bazičnog L 2 -L 7 firewall-a • Može da aktivira DROP Filtering • Vrsta bazičnog L 2 -L 7 firewall-a • Može da aktivira DROP ili RESET konekcije ukoliko polisa označi klijenta kao nepoželjnog • Širok spektar opcija za definisanje polise: – Mrežni parametri (L 2 -L 4) – Operativni sistem, verzija antivirusa. . . – Vremenski interval

Sure. Connect • Ova opcija omogućava pomoć klijentu ukoliko je servis koji je on Sure. Connect • Ova opcija omogućava pomoć klijentu ukoliko je servis koji je on zahtevao nedostupan • Klijentu se može vratiti poruka o zauzetosti, ili progress bar • Net. Scaler automatski pokušava rekonekciju sa serverom prema predefinisanim parametrima • Ukoliko se server ne „oporavi“, klijent se može preusmeriti na alternativni server, ukoliko on postoji

Priority Queueing • Ova opcija omogućava davanje prioriteta zahtevima određenih klijenata u odnosu na Priority Queueing • Ova opcija omogućava davanje prioriteta zahtevima određenih klijenata u odnosu na ostale klijente • Mogu se koristiti isti kriterijumi za izgradnju polise kao u slučaju Filtering opcije

HTTP Do. S • Net. Scaler ima mogućnost detekcije abnormalne količine zahteva za nekim HTTP Do. S • Net. Scaler ima mogućnost detekcije abnormalne količine zahteva za nekim HTTP servisom • Detekcija se vrši putem analiziranja i upoređivanja podataka o klijentu dostupnih iz HTTP header-a, kao i mrežnih parametara klijenta • Svi zahtevi koji stižu od sumnjivih klijenata bivaju odbačeni i ne prosleđuju se back-end serveru

Application Firewall Application Firewall

Application Firewall • Napredni Layer 7 firewall • Ne bavi se mrežnim parametrima klijenta, Application Firewall • Napredni Layer 7 firewall • Ne bavi se mrežnim parametrima klijenta, već podacima koji teku između klijenta i web aplikacije • IPS/IDS mogućnosti – biramo između pasivnog osmatranja i logovanja anomalija, ili definišemo akciju • Pozitivni i negativni model detekcije anomalija – Pozitivni: „Uči“ kako izgleda „normalan“ saobraćaj, a potom reaguje na „nenormalan“ – Negativni: Predefinisani skup „potpisa“ poznatih napada, koji se može i ručno modifikovati • AF vas štiti od loše napisanih Web aplikacija !!!

AF– start URL • Može se definisati regularnim izrazom koji početni URL-ovi su dozvoljeni AF– start URL • Može se definisati regularnim izrazom koji početni URL-ovi su dozvoljeni kada korisnik pristupa aplikaciji • Druga opcija je da uključimo „learn“ mod i pustimo AF da sam snimi stanje • Dobijeno stanje se može potom analizirati, ručno modifikovati, i pretočiti u pravila • Primer: ^[^? ]+[. ](html? |shtml|js|gif|jpg|jpeg|png|swf|pif|pdf|css| csv)$

AF– deny URL • Ova opcija omogućava odbijanje predefinisanih tipova URLova koji se koriste AF– deny URL • Ova opcija omogućava odbijanje predefinisanih tipova URLova koji se koriste tokom uobičajenih napada • Oni se definišu preko regularnih izraza • Korisnik može dodavati svoje definicije • Primeri: • [/]etc[/](passwd|group|hosts) • ^[^? ]*[. ](cgi|pl|php|bat)([/? ]. *)? [|]

AF – Cookie consistency • Jedan od uobičajenih napada je modifikovanje cookie-a koji sadrži AF – Cookie consistency • Jedan od uobičajenih napada je modifikovanje cookie-a koji sadrži podatke o sesiji od strane korisnika, i prisvajanje tuđe sesije ili izmena „pravila igre“ na taj način • AF upoređuje stanje svih cookie-a prilikom njihovog slanja korisniku i prilikom njihovog čitanja od strane servera, i na taj način sprečava ovakve napade

AF – buffer overflow, field formats • AF može detektovati sve buffer overflow napade AF – buffer overflow, field formats • AF može detektovati sve buffer overflow napade koji se mogu pojaviti u samim URL zahtevima • Primer: URL duži od 1024 karaktera, cookie veći od 4096 karaktera, HTTP header duži od 4096 karaktera. . . • AF može vršiti parsiranje i validaciju opsega i tipova podataka koji se nalaze u HTTP formama • Na ovaj način možemo zaštititi loše napisane aplikacije od napada u periodu dok čekamo na patch

AF - SQL injection • AF može zabraniti sve SQL upite ili delove upita AF - SQL injection • AF može zabraniti sve SQL upite ili delove upita koji se pojavljuju u URL-u • Upiti koji su dozvoljeni, ukoliko postoje, mogu se ručno definisati • Ovaj proces se može značajno olakšati potem learn opcije

AF – Cross Site Scripting • Na isti način, AF može detektovati svaki pokušaj AF – Cross Site Scripting • Na isti način, AF može detektovati svaki pokušaj CSS napada analizom URL-a na ugrađene skriptove • Skriptovi koji su dozvoljeni, ako postoje, mogu se ručno definisati • Ovaj proces se može značajno olakšati potem learn opcije

AF - Credit Card check • AF može detektovati sve brojeve kreditnih kartica koji AF - Credit Card check • AF može detektovati sve brojeve kreditnih kartica koji se pojavljuju u saobraćaju između klijenta i servera • Podržane kartice: American Express, Diners Club, Discover, JCB, Master. Card, Visa • Web server nikad ne bi trebalo da vrati broj kartice klijentu • Ukoliko se ovo detektuje, broj se može maskirati, ili se može aktivirati alarm • Može se definisati broj dozvoljenih brojeva kartica po stranici

Alarmi • Svi detektovani događaji se mogu logovati • Konekcija prema malicioznim korisnicima se Alarmi • Svi detektovani događaji se mogu logovati • Konekcija prema malicioznim korisnicima se može blokirati • Može im se prikazati strana sa porukom o grešci, koja se može upload-ovati na Net. Scaler, ili se može nalaziti na posebnom serveru

Citrix Access Gateway Enterprise Citrix Access Gateway Enterprise

Osnovne osobine • Modul Net. Scaler-a • Omogućava: i. SSL VPN pristup mrežnim resursima Osnovne osobine • Modul Net. Scaler-a • Omogućava: i. SSL VPN pristup mrežnim resursima (enterprise-class, policy based) ii. Secure pristup aplikacijama (Xen. App rešenje) iii. Remote access pristup za fajlove, shared network drive, email, intranet site-ove • Zaštita pristupa SSL sertifikatom

Polise pristupa • Pre-authentication – čekiranje uslova na klijentskom uređaju za pristup login stranici Polise pristupa • Pre-authentication – čekiranje uslova na klijentskom uređaju za pristup login stranici • Authentification – čekiranje login parametara • Authorization – definišu koji mrežni resursi su dostupni korisnicima (grupama korisnika) koji se loguju na sistem • Session – definisanje karakteristika sesije (koji resursi su dostupni korisnicima koji se loguju na sistem)

Polise pristupa Pre-authentification • Uslovi koje klijent mora da zadovolji su (security, aplikacije, fajlovi), Polise pristupa Pre-authentification • Uslovi koje klijent mora da zadovolji su (security, aplikacije, fajlovi), da bi se startovao login prozor. Uslovi koji mogu da se definišu: • Antivirus softver • Operativni sistem • Peronal firewall • Service Packs • Anti spam • Hotfixes • Registry configuration • Running services • Files

Polise pristupa Auhtentication Načini autentifikacije • LOCAL • LDAP • RADIUS • TACACS+ • Polise pristupa Auhtentication Načini autentifikacije • LOCAL • LDAP • RADIUS • TACACS+ • NTLM • CERT (klijentski ssl sertifikat) Group extraction – formiranje različitih autorizacionih grupa (odgovaraju LDAP, RADIUS grupama) za ograničenje pristupa kroz session polise

Polise pristupa Authorization • Definiše autorizovan pristup internim mrežnim resursima • Polise se definišu Polise pristupa Authorization • Definiše autorizovan pristup internim mrežnim resursima • Polise se definišu na grupnom (LDAP, RADUS) ili korisničkom nivou • Ukoliko se na globalnom nivou authorization acton postavi na DENY moraju da se definišu autorizacione polise • Načini implementacije: access liste za interne konekcije restrikcije za web sajtove i web aplikacije

Polise pristupa Session polise (1)Network configuration • DNS • Mapped IP • Intranet IP Polise pristupa Session polise (1)Network configuration • DNS • Mapped IP • Intranet IP • Forced Timeout Warning

Polise pristupa Session polise (2) Client experience • Opcije koje mogu biti omogućene klijentu Polise pristupa Session polise (2) Client experience • Opcije koje mogu biti omogućene klijentu (korišćenjem plugin -a): Transfer files Konfigurisanje cag enterprise • Opcije ukoliko je omogućena konfiguracija: General Profile (informacije: adresa VPN servera, split tunneling, lista intranet mreža, lokalna adresa, verzija softvera, mogućnost konfigurisanja: split tuleing, split dns, login procedura) Trace - pregled connection log-a Compression – prikaz informacija o kompresiji

Polise pristupa Session polise (2) Client experience • Metode logovanja Client choices (sa plugin-om, Polise pristupa Session polise (2) Client experience • Metode logovanja Client choices (sa plugin-om, bez plugin-a (kodovan url), logovanje na xenapp ) • Client cleanup (cookie, client certificate, temp files, password, history) • Single sign-on (web aplikacije) • Split tunneling (ON, OFF, REVERSE) • Login, logout script • Client debug settings • Split dns • Local LAN access

Polise pristupa Session polise (2) Client experience • Dodela intranet adresa (zauzeće slobodnih, oslobođenje Polise pristupa Session polise (2) Client experience • Dodela intranet adresa (zauzeće slobodnih, oslobođenje neaktivnih) user group virtual server global • Intranet IP Pool: Free, Reclaim, Transfer • Spillover: NOSPILLOVER, OFF (Korišćenje MIP ukoliko su definisane itranet adrese zauzete)

Polise pristupa Session polise (3)Security • Default authorization actions • Client security • Authorization Polise pristupa Session polise (3)Security • Default authorization actions • Client security • Authorization groups

Polise Redosled izvršavanja polisa: • Global • Virtual server • Group • User + Polise Redosled izvršavanja polisa: • Global • Virtual server • Group • User + prioritet

ICA proxy • SSL proxy između klijenta i servera, klijent se ne loguje direktno ICA proxy • SSL proxy između klijenta i servera, klijent se ne loguje direktno na server koji pokreće Xen. App (zaštita ICA konekcija)