Netzwerkzugriffssteuerung (NAC)

Sie können mit Ihrer NAC-Lösung (Network Access Control) die Bewertung der Gerätesicherheit durch XenMobile für Android- und Apple-Geräte erweitern. Die NAC-Lösung nutzt die XenMobile-Sicherheitsbewertung, um Authentifizierungsentscheidungen zu erleichtern. Nach dem Konfigurieren des NAC-Geräts werden die in XenMobile konfigurierten Geräterichtlinien und NAC-Filter erzwungen.

Die Verwendung von XenMobile mit einer NAC-Lösung ermöglicht QoS und eine gezieltere Steuerung für Geräte innerhalb Ihres Netzwerks. Eine Zusammenfassung der Vorteile einer Integration von NAC mit XenMobile finden Sie unterZugriffssteuerung.

Citrix unterstützt die folgenden Lösungen für die Integration mit XenMobile:

• Citrix Gateway
• Cisco Identity Services Engine (ISE)
• ForeScout

Citrix übernimmt keine Gewährleistung für die Integration anderer NAC-Lösungen.

Bei vorhandenem NAC-Gerät in Ihrem Netzwerk:

• XenMobile unterstützt NAC als Endpunktsicherheitsfeature für Geräte mit iOS, Android Enterprise und Android.

• Sie können Filter in XenMobile aktivieren, um Geräte anhand von Regeln oder Eigenschaften als (nicht) richtlinientreu für NAC festzulegen. Beispiel:

  • Wenn ein verwaltetes Gerät in XenMobile nicht die vorgegebenen Kriterien erfüllt, wird es als nicht richtlinientreu eingestuft. Ein NAC-Gerät blockiert dann nicht richtlinientreue Geräte in Ihrem Netzwerk.

  • Wenn auf einem verwalteten Gerät in XenMobile nicht richtlinientreue Apps installiert sind, kann ein NAC-Filter die VPN-Verbindung blockieren. Ein nicht richtlinientreues Benutzergerät kann dann nicht über das VPN auf Apps oder Websites zugreifen.

  • Wenn Sie Citrix Gateway für NAC verwenden, können Sie durch Aktivieren von Split-Tunneling verhindern, dass das Citrix Gateway Plug-In unnötigen Netzwerkverkehr an Citrix Gateway sendet. Weitere Informationen zum Split-Tunneling finden Sie unterKonfigurieren von Split-Tunneling.

Unterstützte NAC-Richtlinientreuefilter

XenMobile Server unterstützt die folgenden NAC-Richtlinientreuefilter:

Anonyme Geräte:Prüft, ob ein Gerät im anonymen Modus ist. Diese Prüfung ist verfügbar, wenn XenMobile bei einer Wiederverbindung den Benutzer des Geräts nicht erneut authentifizieren kann.

Samsung Knox-Nachweisfehler:Prüft, ob bei einem Gerät die Abfrage des Samsung Knox-Nachweisservers fehlgeschlagen ist.

Unzulässige Apps:Prüft, ob ein Gerät unzulässige Apps aufweist, die in einer App-Zugriffsrichtlinie definiert sind. Informationen zu dieser Richtlinie finden Sie unterApp-Zugriffsrichtlinien für Geräte.

Inaktive Geräte:Prüft, ob ein Gerät entsprechend dem Wert unterInaktivitätsschwellenwert (Tage)in denServereigenschafteninaktiv ist. Einzelheiten finden Sie unterServereigenschaften.

Fehlende Pflicht-Apps:Prüft, ob auf einem Gerät Apps fehlen, die in einer App-Zugriffsrichtlinie definiert sind.

Nicht empfohlene Apps:Prüft, ob ein Gerät nicht empfohlene Apps aufweist, die in einer App-Zugriffsrichtlinie definiert sind.

Nicht richtlinientreues Kennwort:Prüft, ob das Benutzerkennwort richtlinientreu ist. Auf iOS- und Android-Geräten kann XenMobile feststellen, ob das aktuelle Kennwort des Geräts die an das Gerät gesendete Kennwortrichtlinie erfüllt. Auf iOS-Geräten haben Benutzer beispielsweise 60 Minuten, um ein Kennwort festzulegen, wenn XenMobile eine Kennwortrichtlinie an das Gerät sendet. Bevor der Benutzer das Kennwort festlegt, ist das Kennwort u. U. nicht richtlinientreu.

Nicht richtlinientreue Geräte:Prüft anhand der Eigenschaft für nicht richtlinientreue Geräte, ob ein Gerät richtlinientreu ist. Diese Geräteeigenschaft wird normalerweise von automatisierten Aktionen geändert oder von Drittanbietern, die XenMobile-APIs verwenden.

Widerrufenstatus:Prüft, ob das Gerätezertifikat widerrufen worden ist. Ein widerrufenes Gerät kann erst erneut registriert werden, wenn es wieder autorisiert ist.

Android-Geräte mit Rooting oder iOS-Geräte mit Jailbreak:Prüft, ob auf einem Android- oder iOS-Gerät ein Jailbreak vorliegt.

Nicht verwaltete Geräte:Prüft, ob ein Gerät verwaltet, d. h. von XenMobile kontrolliert wird. Beispielsweise wird ein bei MAM registriertes Gerät oder ein nicht registriertes Gerät nicht verwaltet.

Hinweis:

Durch den Filter “Implizit richtlinientreu/nicht richtlinientreu” wird der Standardwert nur auf Geräten festgelegt, die von XenMobile verwaltet werden. Beispiel: Alle Geräte mit einer gesperrten App bzw. solche, die nicht registriert sind, werden als nicht richtlinientreu eingestuft. Das NAC-Gerät blockiert diese Geräte in Ihrem Netzwerk.

Konfigurationsübersicht

Es wird empfohlen, die NAC-Komponenten in der angegebenen Reihenfolge zu konfigurieren.

1. Konfigurieren von Geräterichtlinien zur Unterstützung von NAC:

   Für iOS-Geräte:SieheKonfigurieren der VPN-Geräterichtlinie zur Unterstützung von NAC.

   Für Android Enterprise-Geräte:SieheErstellen einer verwalteten Android Enterprise-Konfiguration für Citrix SSO.

   Für Android-Geräte:SieheKonfigurieren des Citrix SSO-Protokolls für Android.

2. Aktivieren von NAC-Filtern in XenMobile.

3. Konfigurieren einer NAC-Lösung:

   • Citrix Gateway, beschrieben unterAktualisieren der Citrix Gateway-Richtlinien zur Unterstützung von NAC

     Erfordert Installation von Citrix SSO auf Geräten. SieheCitrix Gateway-Clients.

   • Cisco ISE: Siehe Cisco-Dokumentation.
   • ForeScout: Siehe ForeScout-Dokumentation.

Aktivieren von NAC-Filtern in XenMobile

1. Gehen Sie in der XenMobile-Konsole zuEinstellungen > Netzwerkzugriffssteuerung.

   

2. Aktivieren Sie die Kontrollkästchen für die gewünschten Filter unterAls nicht richtlinientreu einstellen.

3. Klicken Sie aufSpeichern.

Aktualisieren der Citrix Gateway-Richtlinien zur Unterstützung von NAC

Sie müssen Authentifizierungs- und VPN-Sitzungsrichtlinien vom Typ “Advanced” (nicht “Classic”) auf dem virtuellen VPN-Server konfigurieren.

Mit diesen Schritten wird ein Citrix Gateway mit einem der folgenden Merkmale aktualisiert:

• Es ist in eine XenMobile Server-Umgebung integriert.
• Es ist nicht Teil der XenMobile Server-Umgebung, sondern für VPN eingerichtet und kann XenMobile erreichen.

Führen Sie auf dem virtuellen VPN-Server in einem Konsolenfenster die nachfolgend aufgeführten Schritte aus. (Die hier gezeigten IP-Adressen haben Beispielcharakter.)

1. Entfernen Sie alle Richtlinien des Typs “Classic” und heben Sie deren Bindung auf, sofern Sie solche Richtlinien auf Ihrem virtuellen VPN-Server verwenden. Geben Sie Folgendes ein, um dies zu überprüfen:

   show vpn vserver

   Entfernen Sie alle Einträge im Ergebnis, die das Wort “Classic” enthalten. Beispiel:VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

   Geben Sie Folgendes ein, um die Richtlinie zu entfernen:

   unbind vpn vserver -policy

2. Erstellen Sie die entsprechende Sitzungsrichtlinie des Typs “Advanced”, indem Sie Folgendes eingeben:

   add vpn sessionPolicy

   Beispiel:add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

3. Binden Sie die Richtlinie an den virtuellen VPN-Server, indem Sie Folgendes eingeben:

   bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100

4. Erstellen Sie einen virtuellen Authentifizierungsserver, indem Sie Folgendes eingeben:

   add authentication vserver

   Beispiel:add authentication vserver authvs SSL 0.0.0.0In dem Beispiel bedeutet0.0.0.0, dass der virtuelle Authentifizierungsserver nicht öffentlich ist.

5. Binden Sie ein SSL-Zertifikat an den virtuellen Server, indem Sie Folgendes eingeben:

   bind ssl vserver -certkeyName

   Beispiel:bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

6. Ordnen Sie dem virtuellen Authentifizierungsserver ein Authentifizierungsprofil vom virtuellen VPN-Server zu. Erstellen Sie zunächst das Authentifizierungsprofil, indem Sie Folgendes eingeben:

   add authentication authnProfile -authnVsName

   Beispiel:

   add authentication authnProfile xm_nac_prof -authnVsName authvs

7. Weisen Sie das Authentifizierungsprofil dem virtuellen VPN-Server zu, indem Sie Folgendes eingeben:

   set vpn vserver -authnProfile

   Beispiel:

   set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof

8. Überprüfen Sie die Verbindung von Citrix Gateway zu einem Gerät, indem Sie Folgendes eingeben:

   curl -v -k https://:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_"

   Diese Abfrage überprüft beispielsweise die Konnektivität, indem sie den Status der Richtlinientreue für das erste registrierte Gerät in der Umgebung (deviceid_1) abruft:

   curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

   Bei Erfolg ähnelt das Ergebnis dem folgenden Beispiel.

   HTTP/1.1 200 OK < Server: Apache-Coyote/1.1 < X-Citrix-Device-State: Non Compliant < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure 

9. Wenn der vorherige Schritt erfolgreich ist, erstellen Sie die Webauthentifizierungsaktion für XenMobile. Erstellen Sie zuerst einen Richtlinienausdruck zum Extrahieren der Geräte-ID aus dem iOS-VPN-Plug-In. Geben Sie Folgendes ein:

   add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

10. Senden Sie die Anforderung an XenMobile, indem Sie Folgendes eingeben: In diesem Beispiel ist die XenMobile Server IP10.207.87.82und der FQDN istexample.em.server.com:4443.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: example.em.server.com:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    Die erfolgreiche Ausgabe für XenMobile NAC lautetHTTP status 200 OK. Der HeaderX-Citrix-Device-Statemuss den WertComplianthaben.

11. Erstellen Sie eine Authentifizierungsrichtlinie, der die Aktion zugeordnet werden soll, indem Sie Folgendes eingeben:

    add authentication Policy -rule -action

    Beispiel:add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

12. Konvertieren Sie die bestehende LDAP-Richtlinie in eine Richtlinie des Typs “Advanced”, indem Sie Folgendes eingeben:

    add authentication Policy -rule -action

    Beispiel:add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

13. Fügen Sie eine Richtlinienbezeichnung für die LDAP-Richtlinie hinzu, indem Sie Folgendes eingeben:

    add authentication policylabel

    Beispiel:add authentication policylabel ldap_pol_label

14. Ordnen Sie die Richtlinienbezeichnung der LDAP-Richtlinie zu, indem Sie Folgendes eingeben:

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

15. Verbinden Sie ein richtlinientreues Gerät, um einen NAC-Test durchzuführen und den Erfolg der LDAP-Authentifizierung zu überprüfen. Geben Sie Folgendes ein:

    绑定验证vserver vserve <身份验证r> -policy -priority 100 -nextFactor -gotoPriorityExpression END

16. Fügen Sie die Benutzeroberfläche für die Zuordnung zu dem virtuellen Authentifizierungsserver hinzu. Geben Sie den folgenden Befehl ein, um die Geräte-ID abzurufen:

    add authentication loginSchemaPolicy -rule -action lschema_single_factor_deviceid

17. Binden Sie den virtuellen Authentifizierungsserver, indem Sie Folgendes eingeben:

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

18. Erstellen Sie eine LDAP-Authentifizierungsrichtlinie des Typs “Advanced” zum Aktivieren der Secure Hub-Verbindung. Geben Sie Folgendes ein:

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT