Netzwerkzugriffssteuerung (NAC)

Wenn Sie in Ihrem Netzwerk ein Gerät zur Netzwerkzugriffssteuerung (NAC), beispielsweise eine Cisco ISE, verwenden: Sie können Filter in XenMobile aktivieren, mit denen Benutzergeräte basierend auf Regeln oder Eigenschaften als NAC-richtlinientreu bzw. nicht NAC-richtlinientreu eingestuft werden. Wenn ein verwaltetes Gerät in XenMobile nicht die vorgegebenen Kriterien erfüllt, wird das Gerät in XenMobile als nicht richtlinientreu eingestuft. Ein NAC-Gerät blockiert dann nicht richtlinientreue Geräte in Ihrem Netzwerk.

Für iOS-Geräte können Sie mit einer VPN-Richtlinie einen NAC-Filter aktivieren, um eine VPN-Verbindung für Geräte zu blockieren, auf denen nicht richtlinientreue Apps installiert sind. Weitere Informationen finden Sie unter NAC-Konfiguration unter iOS in diesem Artikel.

Wählen Sie in der XenMobile-Konsole mindestens ein Kriterium für die Richtlinientreue von Geräten aus der Liste aus.

XenMobile unterstützt die folgenden NAC-Richtlinientreuefilter:

Anonyme Geräte: Prüft, ob ein Gerät im anonymen Modus ist. Diese Prüfung ist verfügbar, wenn XenMobile bei einer Wiederverbindung den Benutzer des Geräts nicht erneut authentifizieren kann.

Samsung KNOX-Nachweisfehler: Prüft, ob bei einem Gerät die Abfrage des Samsung KNOX-Nachweisservers fehlgeschlagen ist.

Unzulässige Apps: Prüft, ob ein Gerät unzulässige Apps aufweist, die in einer App-Zugriffsrichtlinie definiert sind. Weitere Informationen zur App-Zugriffsrichtlinie finden Sie unter App-Zugriffsrichtlinien für Geräte.

Inaktive Geräte: Prüft, ob ein Gerät entsprechend dem unter “Schwellenwert für Tage inaktiv” in den Servereigenschaften festgelegten Wert inaktiv ist. Einzelheiten finden Sie unter Servereigenschaften.

Fehlende Pflicht-Apps: Prüft, ob auf einem Gerät Apps fehlen, die in einer App-Zugriffsrichtlinie definiert sind.

Nicht empfohlene Apps: Prüft, ob ein Gerät nicht empfohlene Apps aufweist, die in einer App-Zugriffsrichtlinie definiert sind.

Nicht richtlinientreues Kennwort: Prüft, ob das Benutzerkennwort richtlinientreu ist. Auf iOS- und Android-Geräten kann XenMobile feststellen, ob das aktuelle Kennwort des Geräts die an das Gerät gesendete Kennwortrichtlinie erfüllt. Auf iOS-Geräten haben Benutzer beispielsweise 60 Minuten, um ein Kennwort festzulegen, wenn XenMobile eine Kennwortrichtlinie an das Gerät sendet. Bevor der Benutzer das Kennwort festlegt, ist das Kennwort u. U. nicht richtlinientreu.

Nicht richtlinientreue Geräte: Prüft anhand der Eigenschaft für nicht richtlinientreue Geräte, ob ein Gerät richtlinientreu ist. Diese Eigenschaft wird normalerweise von automatisierten Aktionen geändert oder von Drittanbietern, die XenMobile-APIs verwenden.

Widerrufenstatus: Prüft, ob das Gerätezertifikat widerrufen worden ist. Ein widerrufenes Gerät kann erst erneut registriert werden, wenn es wieder autorisiert ist.

Android-Geräte mit Rooting oder iOS-Geräte mit Jailbreak: Prüft, ob auf einem Android- oder iOS-Gerät ein Jailbreak vorliegt.

Nicht verwaltete Geräte: Prüft, ob ein Gerät verwaltet, d. h. von XenMobile kontrolliert wird. Beispielsweise ist ein Gerät im MAM-Modus oder ein nicht registriertes Gerät nicht verwaltet.

Hinweis:

Durch den Filter “Implizit richtlinientreu/nicht richtlinientreu” wird der Standardwert nur auf Geräten festgelegt, die von XenMobile verwaltet werden. Beispiel: Alle Geräte mit einer gesperrten App bzw. solche, die nicht registriert sind, werden vom NAC-Gerät als nicht richtlinientreu eingestuft. Diese Geräte werden dann von Ihrem Netzwerk blockiert.

NAC-Konfiguration unter iOS

XenMobile unterstützt über Richtlinieneinstellungen in NetScaler NAC als Endpunktsicherheitsfeature für iOS-Geräte. Sie können einen NAC-Filter aktivieren, um eine VPN-Verbindung für Geräte zu blockieren, auf denen nicht richtlinientreue Apps installiert sind. Wenn die VPN-Verbindung blockiert ist, kann der Benutzer über VPN nicht auf Apps oder Websites zugreifen.

Beispiel: Sie legen in der App-Zugriffsrichtlinie eine bestimmte App als Unzulässig bzw. gesperrt fest. Ein Benutzer installiert die App. Wenn der Benutzer Citrix SSO öffnet und versucht, eine Verbindung mit dem VPN herzustellen, wird die Verbindung blockiert. Es wird ein Fehler beim Verarbeiten der Anforderung gemeldet. Der Benutzer wird aufgefordert, sich an den Systemadministrator zu wenden.

Die Konfiguration erfordert, dass Sie NetScaler-Richtlinien zur Unterstützung von NAC aktualisieren. In der XenMobile-Konsole aktivieren Sie NAC-Filter und stellen die VPN-Geräterichtlinie bereit. Damit dieses Feature auf Geräten funktioniert, installieren die Benutzer den Citrix SSO VPN-Client aus dem Apple-Store.

Es werden folgende NAC-Filter unterstützt:

  • Anonyme Geräte
  • Unzulässige Apps
  • Inaktive Geräte
  • Fehlende Pflicht-Apps
  • Nicht empfohlene Apps
  • Nicht richtlinientreues Kennwort
  • Nicht richtlinientreue Geräte
  • Widerrufenstatus
  • Android-Geräte mit Rooting oder iOS-Geräte mit Jailbreak
  • Nicht verwaltete Geräte

Voraussetzungen

  • NetScaler 12
  • Citrix SSO 1.0.1, auf Geräten installiert

Aktualisieren der NetScaler-Richtlinien zur Unterstützung von NAC

Bei den von Ihnen konfigurierten Authentifizierungs- und VPN-Sitzungsrichtlinien muss sich um Richtlinien des Typs “Advanced” handeln. Führen Sie auf dem virtuellen VPN-Server in einem Konsolenfenster die nachfolgend aufgeführten Schritte aus. (Die hier gezeigten IP-Adressen haben Beispielcharakter.)

Mit diesem Verfahren aktualisieren Sie einen NetScaler, der in eine XenMobile-Umgebung integriert ist. Wenn Sie ein NetScaler Gateway verwenden, das zwar für VPN eingerichtet und nicht Teil der XenMobile-Umgebung ist, jedoch auf XenMobile Service zugreifen kann, können Sie diese Schritte ebenfalls ausführen.

  1. Entfernen Sie alle Richtlinien des Typs “Classic” und heben Sie deren Bindung auf, sofern Sie solche Richtlinien auf Ihrem virtuellen VPN-Server verwenden. Geben Sie Folgendes ein, um dies zu überprüfen:

    show vpn vserver <VPN_VServer>

    Entfernen Sie alle Einträge im Ergebnis, die das Wort “Classic” enthalten. Beispiel: VPN Session Policy Name: PLOS10.10.1.1 Type: Classic Priority: 0

    Geben Sie Folgendes ein, um die Richtlinie zu entfernen:

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Erstellen Sie die entsprechende Sitzungsrichtlinie des Typs “Advanced”, indem Sie Folgendes eingeben:

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Beispiel: add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Binden Sie die Richtlinie an den virtuellen VPN-Server, indem Sie Folgendes eingeben:

    bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100

  4. Erstellen Sie einen virtuellen Authentifizierungsserver, indem Sie Folgendes eingeben:

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Beispiel: add authentication vserver authvs SSL 0.0.0.0 In dem Beispiel bedeutet 0.0.0.0, dass der virtuelle Authentifizierungsserver nicht öffentlich ist.

  5. Binden Sie ein SSL-Zertifikat an den virtuellen Server, indem Sie Folgendes eingeben:

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate> Beispiel: bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Ordnen Sie dem virtuellen Authentifizierungsserver ein Authentifizierungsprofil vom virtuellen VPN-Server zu. Erstellen Sie zunächst das Authentifizierungsprofil, indem Sie Folgendes eingeben:

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Beispiel:

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Weisen Sie das Authentifizierungsprofil dem virtuellen VPN-Server zu, indem Sie Folgendes eingeben:

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Beispiel:

    set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof

  8. Überprüfen Sie die Verbindung von NetScaler zu einem Gerät, indem Sie Folgendes eingeben:

    curl -v -k https://<XenMobile server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Diese Abfrage überprüft beispielsweise die Konnektivität, indem sie den Status der Richtlinientreue für das erste registrierte Gerät in der Umgebung (deviceid_1) abruft:

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Es müsste nun in etwa Folgendes ausgegeben werden:

    HTTP/1.1 200 OK
    < Server: Apache-Coyote/1.1
    < X-Citrix-Device-State: Non Compliant
    < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. Wenn der vorherige Schritt erfolgreich ist, erstellen Sie die Webauthentifizierungsaktion für XenMobile. Erstellen Sie zuerst einen Richtlinienausdruck zum Extrahieren der Geräte-ID aus dem iOS-VPN-Plug-In. Geben Sie Folgendes ein:

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Senden Sie die Anforderung an XenMobile, indem Sie Folgendes eingeben: In diesem Beispiel lautet die XenMobile-IP-Adresse 10.207.87.82.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.207.87.82:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    Die Erfolgreich-Ausgabe für XenMobile-NAC lautet “HTTP status 200 OK”. Der Header ‘X-Citrix-Device-State’ muss den Wert “Compliant” haben.

  11. Erstellen Sie eine Authentifizierungsrichtlinie, der die Aktion zugeordnet werden soll, indem Sie Folgendes eingeben:

    add authentication Policy <policy name> -rule <rule> -action <web auth action> Beispiel: add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Konvertieren Sie die bestehende LDAP-Richtlinie in eine Richtlinie des Typs “Advanced”, indem Sie Folgendes eingeben:

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name> Beispiel: add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Fügen Sie eine Richtlinienbezeichnung für die LDAP-Richtlinie hinzu, indem Sie Folgendes eingeben:

    add authentication policylabel <policy_label_name> Beispiel: add authentication policylabel ldap_pol_label

  14. Ordnen Sie die Richtlinienbezeichnung der LDAP-Richtlinie zu, indem Sie Folgendes eingeben:

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Verbinden Sie ein richtlinientreues Gerät, um einen NAC-Test durchzuführen und den Erfolg der LDAP-Authentifizierung zu überprüfen. Geben Sie Folgendes ein:

    bind authentication vserver <authentication vserver> -policy <webauth policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Fügen Sie die Benutzeroberfläche für die Zuordnung zu dem virtuellen Authentifizierungsserver hinzu. Geben Sie den folgenden Befehl ein, um die Geräte-ID abzurufen:

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Binden Sie den virtuellen Authentifizierungsserver, indem Sie Folgendes eingeben:

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Erstellen Sie eine LDAP-Authentifizierungsrichtlinie des Typs “Advanced” zum Aktivieren der Secure Hub-Verbindung. Geben Sie Folgendes ein:

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

  19. Konfigurieren Sie die VPN-Geräterichtlinie. Weitere Informationen zum Konfigurieren der VPN-Geräterichtlinie finden Sie unter VPN-Geräterichtlinie.

Konfigurieren der Netzwerkzugriffssteuerung

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf Netzwerkzugriffssteuerung. Die Seite Netzwerkzugriffssteuerung wird angezeigt.

    Abbildung der Einstellungen zur Netzwerkzugriffssteuerung

  3. Aktivieren Sie die Kontrollkästchen für die gewünschten Filter unter Als nicht richtlinientreu einstellen.

  4. Klicken Sie auf Speichern.

Netzwerkzugriffssteuerung (NAC)