我们目前正在使用 Citrix Netscaler 为用户提供虚拟桌面。Netscaler 位于 DMZ 中,可以从整个互联网访问。不幸的是,Netscaler 可以访问位于 LAN 中的 LDAP(用于验证用户)和 Citrix Desktop Server(用于虚拟桌面)。在我看来,它不是很安全,在这种情况下,DMZ 就失去了意义,因为正常情况下不应该有流量从 DMZ 流向 LAN。如果 Netscaler 被攻陷,攻击者随后很容易获得对整个 LAN 的进一步访问权。
您的想法/意见是什么?还有其他方法可以更好地放置这些组件吗?也许 Citrix 对此有一些建议?
答案1
如果无法访问其背后的 LAN,您根本无法部署 citrix netscaler...请记住,您希望安全地向用户授予对虚拟桌面的访问权限,因此 netscaler 必须能够将流量转发到托管服务器!
当然,您可以切断 LDAP 身份验证,并建立某种身份验证服务器(Netscaler / VPX 实例有这样的选项)。但在我看来,这毫无意义,而且会带来很多后续工作。
唯一有意义的事情是将 netscaler / LDAP 服务器(可能是 Windows 域控制器)和 Windows 终端服务器移至其自己的专用 LAN(VLAN),以便将其与网络的其余部分隔离。而且,您可以在 netscaler 和托管服务器之间部署防火墙,因为使用的端口是众所周知的……
[编辑] 回应以下评论:
- 在 netscaler 前面的 vpn 对你没有任何帮助——从攻击者的角度来看,无论他攻击 IP abcd 还是 IP efgh 都无关紧要……
- 2FA 是可行的,并且受到 Citrix 的支持,这绝对是提高安全性的一种选择。请记住,您的用户每次登录时都需要输入 2FA,因此这可能会造成一些“烦恼”...
- 在虚拟桌面部署中,您可以定义一个允许访问部署的用户组 - 因此您可以定义一个不包含任何域管理员的组 - 禁止域管理员从外部登录是个好主意...
- 不要忘记防火墙!如果您的 Netscaler 受到攻击,防火墙就是您的第一道防线!