Breaking și protecție Citrix
Citrix - este o aplicatie desktop de la distanță (Remote Desktop), devenind foarte popular. Este similar cu Terminal Services pentru Microsoft. Dar, spre deosebire de Terminal Services, Citrix permite administratorilor să definească aplicații care pot rula pe server. Acest lucru vă permite să controlați aplicații pot utiliza utilizatorii finali. Există o temă dedicat întreaga securitate aplicații Citrix, datorită amestecării tehnologiilor Citrix si Microsoft. amenințare gravă, apare atunci când utilizatorii primesc acces nu numai la programele obișnuite și un Remote Desktop. Acest articol va explica modul în care Citrix funcționează, și ce deficiențe există în modul în care Citrix se ocupă de accesul utilizatorilor la programe.
Bazat pe materiale sh0dan.org
Citrix - este o aplicatie desktop de la distanță (Remote Desktop), devenind foarte popular. Este similar cu Terminal Services pentru Microsoft. Dar, spre deosebire de Terminal Services, Citrix permite administratorilor să definească aplicații care pot rula pe server. Acest lucru vă permite să controlați aplicații pot utiliza utilizatorii finali. Există o temă dedicat întreaga securitate aplicații Citrix, datorită amestecării tehnologiilor Citrix si Microsoft. amenințare gravă, apare atunci când utilizatorii primesc acces nu numai la programele obișnuite și un Remote Desktop. Terminal Services, Microsoft utilizează RDP, în timp ce folosind Citrix ICA (Independent Computing Architecture).
Acest articol va explica modul în care Citrix funcționează, și ce deficiențe există în modul în care Citrix se ocupă de accesul utilizatorilor la programe.
Cum Citrix
Există mai multe implementari Citrix, acestea sunt enumerate mai jos.
MetaFrame Citrix
Citrix NFuse / Citrix Gateway Secure
Citrix NFuse vă permite să conectați prin intermediul unui browser web. NFuse rulează în mod implicit pe IIS 5.0, dar puteți pune-l pe Apache. Toate conexiunile pot fi prin SSL și criptare pe 128 de biți.
Citrix MetaFrame are de obicei o consola de management foarte util care permite unui administrator este relativ ușor de a crea utilizatori și a publica aplicații. Citrix NFuse utilizează o rețea fără Independent Computing Architecture (.ICA) fișiere sunt fișiere text care conțin toate configurare și instalare. Aceste fișiere sunt emise utilizatorilor care, după instalarea Citrix-client, executați fișierul și automat se conecteze la serverul specificat în fișierul .ica se încheie.
Dacă utilizați NFuse, în timp ce nu este necesar fișierele .ICA. Utilizatorul deschide un browser Web, mergeți la serverul web și NFuse intră în domeniul de conectare a acestora. Utilizatorul primește o listă de aplicații care poate fi folosit la ferma Citrix.
Penetrarea Citrix
Citrix menține configurarea conexiunii Programul de Vecinătate Citrix, într-o anumită locație (% SystemRoot% \ profile \ numele de utilizator \ Application Data \ - în NT4, C: \ Documents and Settings \ numele de utilizator \ Application Data \ - în Win2k). S-ar putea fi capabil să fure directorul ICAClient cu conținutul său și copiați-l la profilul tau. Dacă acest utilizator este destul de leneș, el a folosit cu siguranță cache a parolei. În caz contrar, utilizați alte metode de a ghici parola, și vei putea accesa Citrix.
Sniffing - un alt mod. Dsniff are capacitatea Citrix-sniffing si poate fi o armă adevărată atunci când este utilizat în asociere cu cache poisoning arp (cache poisoning ARP).
protejarea Citrix
Iată câteva sfaturi care pot ajuta la protejarea administratorul serverului Citrix.
Scopul este ca utilizatorul nu poate folosi programul care poate fi folosit pentru a descărca sau transfera fișiere de pe serverul Citrix.
protecție externă:- Utilizați NFuse / Citrix configurare Gateway Secure (de exemplu, așa cum este descris mai sus).
- Asigurați-vă că serverul IIS / Apache este complet protejat și amplasat în interiorul DMZ. Necesită utilizarea de autentificare .htaccess sau NTLM, chiar și atunci când accesul la serverul Webroot NFuse.
- Dacă este posibil, cere utilizatorului la distanță pentru a utiliza SecureID pentru autentificare.
- Utilizați browser-ul implicit, altele decât Internet Explorer. Cele mai multe aplicații utilizează „browser-ul implicit“ pentru a afișa ajutorul online. Dacă instalați Netscape și configurați-l ca browser-ul implicit, acestea nu vor fi în măsură să ruleze aplicații, cum ar fi cmd.exe / explorer.exe.
- Creați un grup și a pus totul Citrix pentru utilizatorii de la distanță. Cmd.exe refuza accesul la stratul de sistem de fișiere, ftp.exe, tftp.exe, rcp.exe, net.exe, command.com, iexplorer.exe (dacă este necesar), precum și orice alte programe care pot rula înainte sau fișiere de pe serverul Citrix. Asigurați-vă mai întâi că cmd.exe interdicție nu afectează executarea de script-uri de conectare.
- Instalați întotdeauna cele mai recente patch-uri de pe server Citrix, atunci nu se poate face griji cu privire la posibilele ispravile de escaladare utilizare privilegiu.
- Deoarece există modalități în jurul valorii de „browser-ul implicit“, cum ar fi winhelp32, puteți seta setările de securitate pe Internet, pentru a permite accesul numai la anumite pagini. Este, probabil, rănit pe cineva să încărcați propria cmd.exe.
- Dacă este posibil, dezactivați accesul la scriere Citrix-server.
- De asemenea, dacă este posibil, pentru a împiedica utilizatorii conectați unități de rețea. Puteți face acest lucru prin configurarea conexiune Citrix. Faceți dublu clic pe-ica TCS, selectați «Setări client». Apoi marcați punctele dorite.
- În Politica de grup pentru a dezactiva accesul taskmgr.exe.
Încercați să utilizați aceiași pași pe care sunt listate pentru protecție externă. Dacă este posibil, utilizați un firewall + poarta de acces securizat Citrix.