In questo documento vedremo il deployment del grande prodotto PINsafe di Swivel Secure, dove costringeremo gli utenti che lavorano contro la nostra piattaforma Citrix a utilizzare una doppia autenticazione e a validarsi con la loro autenticazione di Active Directory oltre a inserire un codice OTC basato sul loro PIN affinché, in caso di keylogger, non possano accedere alla nostra piattaforma e cerchiamo di rendere più sicuri gli accessi!!

Prima di questo dispiegamento, dobbiamo avere nel nostro ambiente l'appliance di PINsafe già configurato, possiamo basarci su questi documenti precedenti dove dispiegavamo l'appliance o montavamo la nostra installazione personale (occhio, che se siamo fan di Microsoft, possiamo anche configurarlo su Windows! installiamo prima Apache Tomcat, Scaricare PINsafe e mettiamo il file 'pinsafe.war'’ nella directory 'webapps'); a parte di configurarlo inizialmente in modo basilare. Continueremo ora configurando un server RADIUS nell'appliance, permetteremo l'accesso al NS affinché possa essere validato e realizzeremo tutte le altre configurazioni nel NetScaler!

Accediamo all'appliance di PINsafe, Stiamo per “RAGGIO” > “Server”, e selezioneremo “Server abilitato” A “SÌ” per abilitare il server RADIUS.

Successivamente, in “RAGGIO” > “NAS” dovremo creare un nuovo NAS per permettere l'accesso al NetScaler, aggiungeremo un nome o identificatore, aggiungeremo inoltre l'IP del NIP (IP di Netscaler) e infine indicheremo un segreto da utilizzare successivamente tra entrambi i dispositivi, “Applicare”,

Non male, all'interno del nostro NetScaler dovremo creare un server e una politica di autenticazione RADIUS che poi assoceremo al nostro Access Gateway Enterprise. Per fare ciò,, all'interno “Gateway di accesso” > “Politiche” > “Autenticazione” > “Radius” > “Server” > “Aggiungere…”

Creeremo il server RADIUS contro il quale convalideremo questa seconda autenticazione, indichiamo un nome e specifichiamo l'IP dell'appliance di PINsafe oltre al segreto che abbiamo registrato durante la creazione del NAS all'interno dell'appliance. “Creare”,

Definiamo la politica per applicarla da “Politiche” > “Aggiungere…”,

Indicamos un nombre a la política, añadimos el servidor de RADIUS que acabamos de crear, y añadimos la expresión ‘ns_true’ a ‘True value’.

Editamos nuestro Virtual Server de Access Gateway y deberemos agregar la política recién creada como secundaria, per questo, in “Autenticazione” > “Second…” y agregaremos la política para que ataque al RADIUS del PINsafe. “OK”.

Ahora continuaremos, primero nos bajaremos los archivos para editar el interfaz de nuestro CAG y poder introducirle los cambios, para poder ver el botón de visualizar la imagen. Tendremos en cuenta que necesitaremos acceder desde el exterior de la organización al servidor de PINsafe, basicamente cuando utilicemos las imágenes Single Channel Images, como por ejemplo las TURing imageo el PINpad, siempre podremos probar accediendo a la siguiente URL: 'https://URL_PINSAFE_SERVER:8080/pinsafe/SCImage?username=pruebaaaa’.

Bene, nos bajamos los archivos de la template, seleccionaremos los que necesitemos dependiendo de la versión de nuestro CAGEE:- Para CAGEE 8.x a 9.1 – QUI.
– Para CAGEE 9.2 – QUI.
– Para CAGEE 9.3 – QUI.
– Para CAGEE 10.x – QUI.

Editamos el fichero “pinsafe.js” y modificamos el parámetro ‘sURL’ a la URL correcta y pública de nuestro appliance de PINsafe.

Realizaremos previamente un backup de los archivos de nuestro NetScaler, accedemos por putty o local a su ‘shell’ e:

cd /netscaler/ns_gui/vpn
cp index.html index.html.bak
cd /netscaler/ns_gui/vpn/resources
mkdir bak
cp *.xml bak

Quanto segue, será modificar en nuestra plantilla de idioma el código que queremos que ponga a los usuarios, en vez de ‘Password 2:’ podríamos poner ‘OTC:’ o ‘PIN:’ para hacer más intuitiva la entrada a nuestros users, accedemos a ‘/netscaler/ns_gui/vpn/resources’, editaremos el fichero de nuestro idioma, a mí me vale con edicar ‘es.xml’.

Buscamos las siguientes entradas y ponemos el texto que nos interese:

<String id="Parola d’ordine">Contraseña AD</String>
<String id="Password2">OTC:</String>

Copiamos ya los archivos recién bajados (index.html y pinsafe.js) a ‘/netscaler/ns_gui/vpn/’

Para hacer los cambios permanentes en el NetScaler y que cuando se reinicie no se pierdan los cambios, deberemos primero, copia los archivos modificados (index.html, pinsafe.js y in mi caso el es.xml) a un volume no volátil del appliance, por esempio a /var; y poi editaremos '/nsconfig/rc.netscaler’ añadiendo los comandos necesarios para que los copie tras su reinicio!

Confirmamos y veremos cómo accedemos al portal de Access Gateway y ya disponemos el secondo campo para introducir el codice OTC que generemos cada vez basándonos en nuestro PIN! Como os podréis imaginar esto es el principio de mejorar cualquier soluzione, claro que el codice lo podríamos enviar por SMS, posta, app de móvil PINsafe… os recuerdo que es un producto que tiene las primeras 5 licencias gratuitas, para probarlo o entornos demo, y posteriormente con ir aggregando licenzes, entrarán más usuarios mediante PINsafe y doble autenticación!!!

Si necesitamos más información, aquí tenemos algunos documentos oficiales:- Swivel Secure PINsafe con CAGEE 10.x
– Swivel Secure PINsafe con CAGEE 9.x
– Swivel Secure PINsafe con CAGEE 8.x