Beruflich Dokumente
Kultur Dokumente
Abgabe
Nürnberg, 2. Mai 2017
Auszubildende Ausbildungsbetrieb
Miriam Knichalla Klinikum Nürnberg
Prof.-Ernst-Nathan-Straße 1
Identnummer 90419 Nürnberg
211415
Prüflingsnummer Projektbetreuer
23413 Dipl.-Ing. (FH) Ralph Zederer
Ablösung des Forefront Threat Management Gateways durch Inbetriebnahme des Citrix Netscalers
Inhaltsverzeichnis
1 Projektumfeld ............................................................................................................................................ 2
1.1 Projektauftrag und Rahmenbedingungen ........................................................................................... 2
1.2 Projektziel ........................................................................................................................................... 2
2 IST-Analyse ............................................................................................................................................... 3
2.1 Grafische Übersicht des IST-Zustandes ............................................................................................ 3
2.2 Ausgangslage ..................................................................................................................................... 3
3 SOLL-Konzept ........................................................................................................................................... 4
3.1 Entwicklung eines Konzeptes ............................................................................................................. 4
3.2 Erstellung eines IP-Adresskonzeptes ................................................................................................. 5
3.3 Grafische Übersicht des SOLL-Konzeptes ......................................................................................... 6
3.4 Schnittstellen und ihre Aufgaben ........................................................................................................ 6
3.5 Ressourcen- und Personalplanung .................................................................................................... 7
3.6 Ablaufplanung ..................................................................................................................................... 7
4 Implementierung des Lösungsansatzes in einer Testumgebung ....................................................... 7
4.1 Vergabe von IP-Adressen und Hostnamen ........................................................................................ 7
4.2 Externer und interner DNS-Eintrag .................................................................................................... 8
4.3 Einstellungen an der Firewall ............................................................................................................. 8
4.4 Notwendige Zertifikate ........................................................................................................................ 9
4.5 Anlegen von AD-Usern und -Gruppen ............................................................................................... 9
4.6 Installation einer Testversion ............................................................................................................ 10
4.7 Durchführung von Funktionstests ..................................................................................................... 10
4.8 Typische Vorgehensweise beim Anlegen von Diensten .................................................................. 10
4.9 Feinkonzeption ................................................................................................................................. 11
4.10 Beschaffung ...................................................................................................................................... 11
5 Umsetzung im Produktivsystem ........................................................................................................... 11
5.1 Vorbereitungen ................................................................................................................................. 11
5.2 Inbetriebnahme der virtuellen Maschine .......................................................................................... 12
5.3 Konfiguration des Citrix Netscalers .................................................................................................. 12
5.3.1 Grundkonfiguration und Sicherheitseinstellungen ....................................................................12
5.3.2 Konfiguration der LDAP-Authentifizierung ................................................................................13
5.3.3 Anbindung des Exchange-Load Balancers ..............................................................................14
5.3.4 Aktivierung von TLS Offloading ................................................................................................14
5.3.5 Filterung der Dienste OWA und ActiveSync .............................................................................14
5.3.6 Weiterleitung von http zu https .................................................................................................15
5.3.7 Abfrage der Zugangsdaten .......................................................................................................16
5.3.8 Implementierung von Single Sign-on .......................................................................................17
5.3.9 Weitere Sicherheitseinstellungen .............................................................................................17
5.4 Überprüfung der Umsetzung des Konzeptes ................................................................................... 17
5.5 Projektübergabe ............................................................................................................................... 18
6 Projektabschluss .................................................................................................................................... 18
6.1 Zeitplan ............................................................................................................................................. 18
6.2 Entstandene Kosten ......................................................................................................................... 19
6.3 Vergleich der Umsetzung mit den Anforderungen ........................................................................... 19
6.4 Ausblick ............................................................................................................................................ 19
6.5 Fazit .................................................................................................................................................. 19
A Anhang .................................................................................................................................................... 20
A1 Glossar ............................................................................................................................................. 20
A2 Abbildungs- und Tabellenverzeichnis ............................................................................................... 21
A3 Quellenverzeichnis ........................................................................................................................... 21
Anmerkungen: Begriffe, die kursiv geschrieben sind, wurden im Glossar hinterlegt. Aus Gründen
der Datensicherheit wurden alle Namen und IP-Adressen verfälscht. Die komplette Konfiguration
des Citrix Netscalers wurde von der Autorin ausgeführt und Zuarbeiten von Schnittstellen
entsprechend gekennzeichnet.
1 Projektumfeld
Das Klinikum Nürnberg ist mit 6.100 Mitarbeitern und 2.400 Betten an fünf Standorten im Norden
und im Süden Nürnbergs und im Nürnberger Land eines der größten kommunalen Krankenhäuser
Europas. Im Klinikum werden jährlich 110.000 stationäre und 100.000 ambulante Patienten
behandelt.
Die Abteilung für Informationsverarbeitung ist mit 65 Mitarbeitern und Auszubildenden der interne
IT-Dienstleister des Klinikums Nürnberg. Das Sachgebiet Netz- und Basistechnologien ist für den
Betrieb und die Wartung des Datennetzes zuständig. Neben der Administration wesentlicher
konzernweiter IT-Basis-Dienste – Netzbetrieb und Infrastrukturdienste – fällt der Betrieb der
Exchange-Server und der damit verbundenen Anwendungen Microsoft Office Outlook und
Forefront Threat Management Gateway (TMG) in den Zuständigkeitsbereich des Sachgebietes.
TMG ermöglicht die Bereitstellung des Webmail-Zugriffes auf das Postfach sowie die
Synchronisierung des Postfaches und Kalenders mit mobilen Endgeräten. Aktuell nutzen knapp
200 Beschäftige diesen Service.
1.2 Projektziel
Das Projektziel war die Aufrechterhaltung der Möglichkeit des externen Zugriffs auf die Mitarbeiter-
Postfächer per Open Web Access (OWA) und ActiveSync ohne Auswirkungen auf die Qualität der
Services für den Anwender. Die sichere Bereitstellung der Services mittels TMG konnte durch die
Abkündigung seitens Microsoft nicht mehr gewährleistet werden.
2 IST-Analyse
2.1 Grafische Übersicht des IST-Zustandes
2.2 Ausgangslage
Aktuell werden im Klinikum zwei Exchange-Server mit 6.000 Postfächern und 500 Verteilerlisten in
einem Cluster betrieben. Die Kommunikation zwischen TMG und Postfach-Servern erfolgt über
einen Kemp Load Balancer, der als Hardware-Cluster implementiert ist und die Anfragen verteilt.
TMG wird im Klinikum ausschließlich dazu verwendet, den Zugriff auf die Postfächer des
Exchange-Servers per OWA und ActiveSync zur Verfügung zu stellen. Dadurch haben die
Beschäftigten die Möglichkeit, ihre E-Mails und Kalender auch an Aufenthaltsorten außerhalb des
Klinikums mittels Webbrowser abzurufen oder mit ihren mobilen Endgeräten zu synchronisieren.
Forefront TMG ist im Haus als virtueller Server in einer demilitarisierten Zone (DMZ) implementiert
und publiziert die formularbasierte Anmeldemaske via Internet und Intranet, so dass Mitarbeiter per
TLS gesicherter Verbindung auf ihre E-Mails zugreifen können. Die Kommunikation des TMG aus
der DMZ mit den Backend-Servern im Hausnetz erfolgt ebenfalls per TLS gesicherter Verbindung.
Dazu ist auf dem TMG ein Zertifikat hinterlegt, das auf den Hostnamen bei einer
Zertifizierungsstelle registriert wurde. Die hier verwendete Form der Ende-zu-Ende-
Verschlüsselung ist mit TLS Offloading implementiert. Beim Zugriff auf das Postfach per OWA und
ActiveSync werden vom Benutzer Zugangsdaten – Benutzername und Passwort – eingefordert
und gegen das Active Directory (AD) des Klinikums per LDAP authentifiziert. Dafür werden die AD-
Gruppen „OWA-extern“ und „ActiveSync-extern“ verwendet. TMG authentifiziert sich selbst mit
einem eigenen Benutzerkonto mittels LDAP gegen das AD. TMG verfügt über zwei Netzwerk-
Schnittstellen, wovon eine über eine interne IP-Adresse aus dem DMZ-Netz und die andere über
eine externe IP-Adresse aus dem Internet erreichbar ist. Um die Zugriffe auf die öffentliche IP-
Adresse des TMG zu beschränken, ist ein Regelwerk auf der Firewall hinterlegt, das nur http- und
https-Zugriffe zulässt. Aus dem internen Klinikumsnetz sind zusätzlich Zugriffe per SSH und ping
möglich; für Zugriffe von TMG auf das interne Netz sind die Protokolle http, https, LDAP, NTP,
DNS und ICMP freigegeben. Hostnamen und IP-Adressen sind auf den internen sowie externen
DNS-Servern hinterlegt. Es erfolgt täglich eine Sicherung der virtuellen Maschine.
3 SOLL-Konzept
3.1 Entwicklung eines Konzeptes
Eine grundlegende Frage zu Beginn der Konzeptionierung war, ob der Betrieb des Netscalers im
one-arm mode oder im two-arm mode erfolgen sollte. Nach Beratung mit einem externen
Dienstleister fiel der Entschluss, den Netscaler im one-arm mode zu implementieren, da sich im
two-arm mode – in der Standard-Implementierung – eine Netzwerkschnittstelle in der DMZ und die
andere Schnittstelle im Hausnetz befinden würde. Bei einer feindlichen Übernahme des Netscalers
würde der Angreifer so direkt ins interne Klinikumsnetz gelangen. Im one-arm mode muss die
Kommunikation ins Hausnetz noch einmal die Firewall passieren. Eine weitere Variante wäre die
Einrichtung einer zweiten DMZ für den two-arm-mode. Dazu müssten allerdings zusätzliche
Veränderungen an der Infrastruktur vorgenommen werden, was der Rahmenbedingung der
Weiternutzung vorhandener Infrastruktur widerspricht. Für die Implementierung des Netscalers auf
dem ESXi-Server wurden die von Citrix vorgegebenen Minimalanforderungen vorgesehen:
Komponenten Anforderungen
Arbeitsspeicher 2 GB
Virtuelle CPU 2
Virtuelles Netzwerkinterface 1
Speicherplatz 20 GB
Tabelle 1: Anforderungen an den ESXi-Server
Weitere Anforderungen ergaben sich aus der IST-Analyse, da die Implementierung des Netscalers
folgende Funktionalitäten des TMG abdecken sollte:
Zugriff auf die Postfächer mittels OWA und ActiveSync
Implementierung in einer DMZ
Ende-zu-Ende-Verschlüsselung per TLS gesicherter Verbindung
Authentifizierung und Autorisierung der Benutzer gegen das Active Directory
Regelwerk zur Beschränkung der Zugriffe auf der Firewall
regelmäßiges Backup der virtuellen Maschine
Da bisher noch kein Know-how im Umgang mit dem Citrix Netscaler vorhanden war, sollte der
Netscaler in einer Testumgebung erprobt werden. Durch die Teststellung sollte herausgefunden
werden, wo und wie notwendige Einstellungen vorzunehmen sind und welche zusätzlichen
Informationen benötigt werden. Die Testumgebung sollte sich so eng wie möglich an der späteren
Produktivumgebung orientieren und deshalb auf einem ESXi-Server in der DMZ implementiert
werden. Zudem sollten für den Test bereits die IP-Adressen, Firewall-Regeln und AD-Konten
Verwendung finden, die anschließend im Produktivsystem genutzt werden. Der einzige
Unterschied dabei sollte die Nutzung einer kostenlosen Testversion sein.
Netscaler IP-Address (NSIP): Zugriff auf den Netscaler zu Konfigurations- und Management-
zwecken
Subnet IP-Address (SNIP): Kommunikation mit den Backend-Servern
Virtual IP-Address (VIP): Kommunikation mit den Clients
Durch die vorbereitende Lektüre der Herstellerdokumentation wurde festgestellt, dass für die
Benutzer-Authentifizierung zwei IP-Adressen, für die LDAP-Abfragen eine IP-Adresse und weitere
IP-Adressen für die zukünftige Bereitstellung zusätzlicher Services über den Netscaler benötigt
werden. Deshalb sollte ein /24 VLAN verwendet werden. Daraus ergab sich folgendes IP-
Adresskonzept (siehe IP-Adressen und Hostnamen, Seite 7):
Aus dem geplanten Betrieb im one-arm mode resultierte die Notwendigkeit, zwischen den
öffentlichen und internen Adressen NAT einzurichten. Die virtuellen Server für OWA und
ActiveSync sollten über die internen Adressen bereitgestellt und durch DNAT an der Firewall von
extern erreichbar gemacht werden. Von außen nicht erreichbar sein sollte die VIP für interne
Dienste, da diese vom Netscaler ausschließlich für AD-Abfragen mittels LDAP genutzt wird.
Beschreibung Zeitaufwand
Netzbetrieb 1,0 h
IT-Security 1,0 h
Systembetrieb 1,0 h
PC-Service/Einkauf 1,0 h
Externer Dienstleister 2,0 h
Auszubildende 35,0 h
Tabelle 3: Personalplanung
3.6 Ablaufplanung
Für die Aufgaben wurde folgende Ablaufstruktur festgelegt:
Abbildung 4: Projektstrukturplan
Citrix-
Adressbereiche IP-Adresse Hostname Beschreibung
Bezeichnung
203.0.113.1 netscaler1 NSIP Management-Zugriff
Management
203.0.113.11 snip1 SNIP Backend-Anbindung
Interne Dienste 203.0.113.101 ldap VIP LDAP-Load Balancing
Tabelle 5: Firewall-Regeln
Für die Kommunikation von externen Clients wurden diese DNAT-Einstellungen vorgenommen:
Bei den DNAT-Regeln wurde http zugelassen, da die Anwender bei der Eingabe von URLs in den
Webbrowser häufig vergessen, https einzutragen. Deshalb übernimmt der Netscaler den Redirect
von http zu https (siehe Konfiguration, Seite 15). Durch die DNAT-Einstellungen werden
beispielsweise alle Anfragen für den Zugriff auf das Postfach, die über 91.213.20.105 ankommen,
zu 203.0.113.105 (OWA-Gateway) umgeleitet.
Kennwortablauf nicht mehr funktioniert. Für die Authentifizierung der Anwender werden die bereits
bei TMG verwendeten AD-Gruppen „OWA-extern“ und ActiveSync-extern“ genutzt.
Dann erfolgt die Erstellung von einem/einer [Service / Service-Gruppe / Policy]. Der Service-
Gruppe im Beispiel werden die oben erstellten Server zugewiesen:
An dieser Stelle ist es wichtig, ein Monitoring zu hinterlegen. Zur Überprüfung, ob die Domain
Controller der Servicegruppe srvgrp_ldap erreichbar sind, sendet der Netscaler alle 5
Sekunden einen Ping. Nach drei erfolglosen Versuchen wird der Domain Controller, der sich
nicht zurückmeldet, 30 Sekunden auf Down gesetzt, bevor erneut ein Ping gesendet wird.
Zuletzt wird der/die [Service / Service-Gruppe / Policies] an einen neu zu erstellenden virtuellen
Server gebunden, über den der/die [Service / Service-Gruppe / Policies] erreichbar ist.
4.9 Feinkonzeption
Die gesammelten Erfahrungen aus der Testphase zeigten, dass die Management-Weboberfläche
standardmäßig nicht per https aufgerufen wird, sondern lediglich per http. Zusätzlich
Berücksichtigung finden sollten die Umstellung des Management-Zugriffs auf https sowie der
personalisierte, authentifizierte Zugriff auf die Management-Weboberfläche und -Konsole. Dazu
sollte eine neue AD-Gruppe für Netscaler-Administratoren genutzt werden.
4.10 Beschaffung
Zur Inbetriebnahme des Netscalers war eine gültige Produktlizenz notwendig. Die Schnittstelle PC-
Service/Einkauf wurde deshalb damit beauftragt, Angebote für die Produktlizenz bei drei externen
Dienstleistern einzuholen. Innerhalb weniger Stunden lagen die Angebote vor. Die Auswahl
erfolgte anhand der Kriterien Preisgestaltung und Serviceleistungen. So fiel die Wahl auf einen
Anbieter mit dem im Sachgebiet Netz- und Basistechnologien bereits sehr gute Erfahrungen im
Hinblick auf Service und Reaktionszeiten bei Supportanfragen gemacht wurden.
5 Umsetzung im Produktivsystem
5.1 Vorbereitungen
Die Grundlage für die Einrichtung der Zugriffsbeschränkung auf die Management-Weboberfläche
und -Konsole erfolgte durch das Anlegen der AD-Gruppe „Gruppe-Admin-Netscaler“. In dieser
Gruppe sind die Mitarbeiter Mitglieder, die als Netscaler-Administrator fungieren. Als Backup
existiert noch das lokale Default-Konto „nsroot“ mit einem mehrstelligen Kennwort, das nur den
Administratoren zugänglich ist.
Die Testversion des Netscalers konnte nicht für die Umsetzung in der Realisierungsphase
verwendet werden, da es sich um die Vorgängerversion des aktuellsten Releases handelte.
Deshalb musste vor Inbetriebnahme der Produktivumgebung sicher gestellt werden, dass es zu
keinem IP-Adresskonflikt mit der Testumgebung kommt. Die virtuelle Maschine der Teststellung
wurde aus diesem Grund unwiederbringlich gelöscht.
Anschließend wurden die IP-Adressen der hauseigenen NTP-Server im Netscaler hinterlegt, damit
die Systemzeit des Netscalers synchronisiert wird. Eine falsche Systemzeit kann zu
Sicherheitsproblemen führen. So könnten z.B. bei Störungen die Log-Einträge durch eine falsche
Zeitangabe nicht zugeordnet werden. Die erfolgreiche Synchronisation des Netscalers mit den
Zeitservern wurde in der Konsole mit „show ntp status“ überprüft.
Beim anschließenden Test verlief die Anmeldung erfolgreich, allerdings war nur die Weboberfläche
des Netscalers ohne Inhalte zu sehen. Um die Inhalte sichtbar zu machen, musste in der User
Administration des Netscalers die AD-Gruppe „Gruppe-Admin-Netscaler“ mit der Berechtigung
„superuser“ für den Vollzugriff hinterlegt werden. Die Default-Einstellung ist hier im
Auslieferungszustand des Netscalers „read-only“ – ohne Berechtigung zum Schreiben und
Einsehen der Konfigurationsdateien.
Nun musste das SAN-Zertifikat noch an den Service für internen Zugriff per https gebunden
werden. Als zu verwendende Protokolle sind hier TLSv1.0, TLSv1.1 und TLSv1.2 erlaubt – auf den
Einsatz von SSL wurde aus Sicherheitsgründen verzichtet. Im Anschluss wurde der http-Zugriff auf
netscaler1 deaktiviert und die sichere Anmeldung mit Administratoren Zugangsdaten auf
https://netscaler1 getestet. Der Test des sicheren Zugriffs auf die Management-Weboberfläche des
Netscalers verlief erfolgreich. Auch der Zugriff per SSH auf die Management-Konsole konnte
erfolgreich getestet werden.
Im Anschluss wurde noch je ein virtueller Load Balancing-Server für OWA (vsrv_lb_exch_owa) und
ActiveSync (vsrv_lb_exvh_Microsoft-Server-ActiveSync) angelegt und jeweils der Service
lbknexch_443 angebunden, damit per https auf die Exchange-Server zugegriffen werden kann.
Um die Dienste über eine https-Verbindung von extern erreichen zu können, wurde das Wildcard-
Zertifikat, das von einer externen CA authentifiziert wurde, hochgeladen und an die virtuellen
Server für OWA und ActiveSync gebunden. Die Wahl fiel auf ein Wildcard-Zertifikat, da in Zukunft
noch mehr Dienste über den Netscaler angeboten werden sollen. So muss nicht für jeden Dienst
ein eigenes Zertifikat bei einer externen Authentifizierungsstelle angeschafft werden.
Bedeutung Zeile 1: Bei dem zu überprüfenden String wird Groß- und Kleinschreibung ignoriert und
wenn der String „owa.klinikum-nuernberg.de“ im http-Request als Hostname enthalten ist, wird der
Boolsche Wert „true“ zurückgegeben. In allen anderen Fällen „false“.
Bedeutung Zeile 2: Bei dem zu überprüfenden String wird Groß- und Kleinschreibung ignoriert und
wenn der String "/Microsoft-Server-ActiveSync" in der URL des http-Requests enthalten ist, wird
„true“ zurückgegeben. In allen anderen Fällen „false“.
Anschließend wurde der virtuelle Content Switching-Server (vsrv_csw_exchange) mit der IP-
Adresse 203.0.113.105 angelegt, TLSv1.0, TLSv1.1 und TLSv1.2 aktiviert und die Policy
(pol_csw_exch_Microsoft-Server_ActiveSync) eingebunden.
Für den Zugriff auf OWA mussten weder eine Policy noch eine Action hinterlegt werden, da OWA
die Default-Einstellung ist. Diese wird gewählt, wenn keine Policy, die an den virtuellen Content
Switching-Server (vsrv_csw_exchange ) gebunden ist, zutrifft.
Damit die Filterung auf berechtigte Mitarbeiter erfolgt, musste im Bereich Security in der
Konfiguration des LDAP-Servers die AD-Gruppe „OWA-extern“ hinterlegt und eine Policy
(pol_nslb_ldap_owa-extern) erstellt werden. Diese Policy wurde an den neu angelegten virtuellen
Authentication-Server (vsrv_aaa_auth.klinikum-nuernberg.de) gebunden und lässt sämtlichen
Traffic zu; die Firewall beschränkt den Traffic bereits auf http- und https-Zugriffe. Dann wurde der
LDAP-Server als Action an die neu erstellte Policy gebunden. Der virtuelle Authentication-Server
musste im Folgenden noch am virtuellen Load Balancing-Server für OWA (vsrv_lb_exch_owa)
zusammen mit der Einstellung „Form Based Authentication“ zur Darstellung eines Eingabefensters
für die Zugangsdaten (siehe Abbildung 9) hinterlegt werden.
Nun erfolgte ein Test der vorgenommenen Einstellungen. Dazu wurde im Webbrowser
https://owa.klinikum-nuernberg.de aufgerufen. Es konnte beobachtet werden, wie auf
https://auth.klinikum-nuernberg.de/vpn/tmindex.html weitergeleitet und die formularbasierte
Anmeldemaske im Browserfenster angezeigt wurde. Nach Eingabe von Zugangsdaten aus der
AD-Gruppe „OWA-extern“ öffnete sich ein zweites Anmeldefenster, diesmal von den Exchange-
Servern. Nach erneuter Eingabe der Zugangsdaten war der Zugriff auf das Postfach möglich.
Für die Nutzer-Authentifizierung bei ActiveSync waren noch, wie vorher bei der OWA-
Authentifizierung, ein virtueller Server, eine Policy sowie ein LDAP-Server mit der AD-Gruppe
„ActiveSync-extern“ anzulegen. Der virtuelle Server für die ActiveSync-Authentifizierung wurde
anschließend an den virtuellen Load Balancing-Server für ActiveSync (vsrv_lb_exch_Microsoft-
Server-ActiveSync) gebunden. Als Einstellung erfolgte „401 Based Authentication“, da hier keine
Eingabe der Zugangsdaten in eine formularbasierte Anmeldemaske erfolgt. Zum Testen wurde die
Smartphone App Mailwise genutzt. In der App wurde neben der E-Mailadresse und dem Passwort
auch die AD-Kennung eines Mitarbeiters aus der Gruppe „ActiveSync-extern“ sowie der Server
owa.klinikum-nuernberg.de/Microsoft-Server-ActiveSync mit dem Port 443 (https) hinterlegt. Nach
abgeschlossener Kontoeinrichtung synchronisierte sich das Postfach erfolgreich mit Mailwise.
Abbildung 12: Konsole mit Anweisung zur Debug-Ausgabe als Text (Screenshot)
5.5 Projektübergabe
Da nach Installation des Netscalers alle Funktionstests erfolgreich absolviert wurden, war das
Projekt bereit zur Übergabe an die Abteilungsleitung. Dies erfolgte per E-Mail mit dem Hinweis auf
die neue URL https://owa.klinikum-nuernberg.de und der Bitte, die Anmeldung auszuprobieren.
Nach erfolgter Abnahme durch die Abteilungsleitung wurden die Mitarbeiter, die zur Nutzung von
OWA und ActiveSync berechtigt sind, per E-Mail informiert, dass die URL sowie die Gestaltung der
OWA-Anmeldeseite geändert wurden.
6 Projektabschluss
6.1 Zeitplan
Geplante Tatsächliche
Projektphase Differenz
Dauer Dauer
Aufnahme und Dokumentation des IST-Zustandes 2,0 h 2,0 h
Erstellung eines SOLL-Konzeptes 3,0 h 3,0 h
Implementierung des Lösungsansatzes in einer
10,0 h 11,5 h +1,5 h
Testumgebung
Planung und Umsetzung des Konzeptes im
9,0 h 8,0 h -1,0 h
Produktivsystem
Test und Übergabe 6,0 h 5,5 h -0,5 h
Dokumentation 5,0 h 5,0 h
Gesamtdauer 35,0 h 35,0 h +/- 0 h
Tabelle 7: Projektzeitplanvergleich
Die Abweichungen der kalkulierten von der tatsächlichen Zeit begründen sich wie folgt:
Durch den großen Funktionsumfang des Netscalers musste zuerst ein Überblick über die
Organisation des Menüs mit seinen umfangreichen Unterpunkten erlangt werden. Da laut den
Anleitungen von Citrix Anforderungen und Einstellungen an mehreren Stellen umgesetzt und
vorgenommen werden können, musste zunächst ausprobiert werden, welche Einstellungen für
dieses Projekt am effektivsten sind. Dies nahm mehr Zeit in Anspruch als eingeplant.
Durch die intensive Einarbeitung und die gesammelten Erfahrungen während der
Testimplementierung wurde ein gezielter Zugriff auf die notwendigen Einstellungen bei der
Umsetzung des Produktivsystems möglich. Dadurch konnte eine Stunde eingespart werden.
Während der Test- und Übergabephase wurde eine weitere halbe Stunde eingespart, da alle
Tests weitgehend fehlerfrei verliefen und die Beteiligten motiviert mitarbeiteten.
Rahmenbedingungen erfüllt
Citrix Netscaler als Nachfolgeprodukt
Nutzung vorhandener Komponenten und Infrastruktur
Umsetzung als virtueller Server
Keine Redundanz
Kosten von maximal 6.000 € brutto
Tabelle 8: Vergleich der Umsetzung mit den Rahmenbedingungen
6.4 Ausblick
Es ist angedacht, in naher Zukunft den Zugriff auf die hauseigene Citrix-Terminalserverfarm über
das Netscaler Gateway mittels Zwei-Faktor-Authentifizierung zu ermöglichen. Im Moment erfolgt
der Zugriff über ein IPSec-VPN; dies setzt eine etwas aufwendigere Konfiguration für jede
Verbindung voraus.
6.5 Fazit
Mein persönliches Fazit: das Projekt kann als sehr gelungen gewertet werden, da das anvisierte
Projektziel vollständig erreicht wurde. Das Feedback nach der Übergabe fiel allgemein sehr positiv
aus. Mir hat gefallen, dass ich selbständig und eigenverantwortlich ein Projekt durchführen und
erfolgreich zum Abschluss bringen konnte. Darüber hinaus habe ich meine Fachkenntnisse in
verschiedenen Bereichen (z.B. Firewall, TLS) erweitert. Dies wird mir in Zukunft in meiner
täglichen Arbeit weiterhelfen.
A Anhang
A1 Glossar
Verzeichnisdienst mit Rechteverwaltung, der ein Netzwerk z.B.
Active Directory entsprechend der realen Struktur des Unternehmens gliedert, Objekte wie
Computer, Benutzer, Gruppen verwaltet und Zugriffe beschränkt
Software, die die Datensynchronisation und den Zugriff von einem mobilen
ActiveSync
Endgerät auf das Postfach eines Exchange-Servers ermöglicht
Variable, die nur zwei Werte (wahr oder falsch) annehmen kann und als
Boolscher Wert
Bedingung für Abfragen genutzt wird
CA certification authority – eine Instanz, die digitale Zertifikate ausstellt
Hardwareverbund zur Steigerung der Verfügbarkeit der darauf laufenden
Cluster
Dienste und zur höheren Ausfallsicherheit
demilitarisierte Zone – Netzwerkbereich zwischen der Internet-Firewall und
DMZ
der internen Firewall, der von außen erreichbar ist
Destination-NAT, (siehe NAT) – unterschiedliche Dienste werden unter
DNAT einer einzigen Ziel-IP-Adresse angeboten und die Adressinformationen an
der Ziel-Firewall ersetzt
domain name system – Umsetzung des Hostnamens in die dazugehörige
DNS
IP-Adresse und umgekehrt
Hostsystem von VMware, das den simultanen Betrieb mehrerer virtueller
ESXi
Gastsysteme erlaubt
full qualified domain name – eindeutiger Name eines Internet-Hosts, der
FQDN sich aus dem Hostnamen und dem Namen der Domain zusammensetzt
(z.B. owa.klinikum-nuernberg.de)
http strict transport security – Sicherheitsmechanismus für https-
HSTS
Verbindungen
internet control message protocol – dient in Netzwerken dem Test der
ICMP
Erreichbarkeit und zur Fehlerermittlung
lightweight directory access protocol – zur Abfrage und Änderung von
LDAP
Informationen von Verzeichnisdiensten (siehe Active Directory)
Load Balancer verteilt die Last der Anfragen auf die Rechner in einem Cluster
Angriffsform, bei der der Angreifer den Netzwerkstrom aufbricht, um die
Man-in-the-Middle
Kommunikation mitzulesen und zu manipulieren
network address translation – ersetzt automatisiert Adressinformationen in
NAT
Datenpaketen durch andere Adressinformationen
NTP network time protocol – Standard zur Synchronisierung von Uhrenzeiten
one-arm mode Modus, der nur eine Netzwerkschnittstelle benötigt
open virtualization format – offenes Virtualisierungsformat zum Verpacken
OVF
und Verteilen von virtuellen Maschinen
open web app / access – ermöglicht den Zugriff auf E-Mail- Postfächer über
OWA
das Internet und Intranet
Postfach-Server Rolle des Exchange-Servers, zuständig für die Bereitstellung der Postfächer
bezeichnet das zusätzliche Vorhandensein funktional gleicher oder
Redundanz
vergleichbarer Ressourcen zur Datensicherheit
subject alternative name – Zertifikat in das mehrere DNS-Namen einer
SAN-Zertifikat
Domäne hinterlegt werden können
secure shell – Netzwerkprotokoll zum Aufbau einer verschlüsselten
SSH
Verbindung
TLS Offloading transport layer security offloading – TLS Verschlüsselung und
A3 Quellenverzeichnis
Informationen zu Citrix Netscaler: https://www.citrix.de/products/netscaler-adc/
Tutorials zur Ablösung von Forefront TMG durch Citrix Netscaler:
https://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/replacing-
microsoft-forefront-tmg-with-citrix-netscaler-for-website-publishing.pdf und
https://www.citrix.com/blogs/2013/12/19/tmg-replacement-for-exchange-2013-with-netscaler/
FAQs zu Citrix Netscaler: https://www.citrix.com/support/
Forum zu Citrix Netscaler: http://discussions.citrix.com/forum/1356-netscaler-application-
delivery-controller/
Allgemein Informationen zu weiteren Begriffen: http://de.wikipedia.de