• Save
Citrix Secure Gateway
Upcoming SlideShare
Loading in...5
×
 

Citrix Secure Gateway

on

  • 2,201 views

Interlocutores del Secure Gateway ...

Interlocutores del Secure Gateway
Fases de una conexión segura a una granja PS4
Preguntas frecuentes sobre el STA
Instalación de Secure Garreateway 3.0
Configuración de una autoridad de certificación
Emisión del certificado de identidad del servidor
Secure Gateway Configuration Wizard
Reconfiguración del Web Interface para usar el Secure Gateway

Statistics

Views

Total Views
2,201
Views on SlideShare
1,700
Embed Views
501

Actions

Likes
1
Downloads
1
Comments
0

4 Embeds 501

http://www.misdocumentos.net 257
http://misdocumentos.net 143
http://creativecodeworks.com 94
http://webcache.googleusercontent.com 7

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Citrix Secure Gateway Citrix Secure Gateway Presentation Transcript

  • TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Secure Gateway 3.0INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICAPlan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintadode la información y las comunicaciones jherrero@mma.es
  • ContenidoInterlocutores del Secure GatewayCaracterísticasFases de una conexión segura a una granja Presentation Server 4Preguntas frecuentes sobre el STA (Secure Ticket Authority)Instalación de Secure Gateway 3.0Configuración de una autoridad de certificaciónEmisión del certificado de identidad del servidorSecure Gateway Configuration WizardConfiguración del Web Interface DMZ settings Secure Gateway settingsEstrategia para desplegar el certificado de la CA
  • Secure Gateway 3.0Es el perímetro de seguridad para proteger accesos a Presentation Server. Encripta y autentica las conexiones Se instala en la DMZ El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO Puede ser redundanteComponentes con los que habla el SG: 1. el Web Interface 2. el Secure Ticket Authority (STA) 3. el Citrix XML Service 4. el cliente ICA (Web client o PNAgent)
  • Componentes con los que habla el Secure Gateway1. WEB INTERFACE -WI-Proporciona el interface de logonProporciona los servicios de autenticación y autorización2. SECURE TICKET AUTHORITY -STA-Proporciona un TICKET en respuesta a una petición de conexión a una aplicaciónpublicada en entorno Metaframe. Estos tickets son la base del sistema de autenticación y autorización. Se instala automáticamente al instalar PS4, no es necesario unservidor aparte (como sucedía antes)3. CITRIX XML SERVICEEl XML Service es el punto de contacto inicial con una granja de servidores. Informade la disponibilidad y localización de las aplicaciones publicadas.
  • Secure Gateway 3.0 en DMZ "single hop" (un salto)
  • Caracteríticas del Secure Gateway /1 Soporta FTP, HTTP y TELNET Deployment más sencillo, ya que ahora el STA está incluido en Presentation Server y es instalado automáticamente Ya no es necesario IIS para el STA Manejo avanzado de certificados El wizard no permite seleccionar un certificado que no tenga clave privada El wizard verifica que el certificado esté instalado en el almacén de certificados Los log que usa el SG están en el formato standard de Apache Incluye performance counters para analizar el nivel de uso y carga
  • Caracteríticas del Secure Gateway /2 Basado en el código de Apache 2.x Usa SSL y PKI (estándares) Soporte de Session Reliability "When a session connection is interrupted, all open windows to published resources will remain visible while reconnection is automatically attempted in the background." Conexiones seguras sin necesidad de VPN’s Soporta DMZ single-hop o double-hop Consola compatible con MMC (es un snap-in) Mínima configuración en equipos cliente
  • Fases de una conexión segura con PS4 /11. El usuario abre un navegador y teclea https://www.secure-gateway.com2. El SG pasa la petición al Web Interface3. El WI responde al usuario mandándole una página de logon4. El usuario introduce sus credenciales, que vuelven al WI a través del SG5. El WI manda las credenciales al XML Service de la granja y obtiene la lista deaplicaciones que el usuario puede ejecutar6. El WI compone la página web y la manda al usuario en forma de links a ficheros.ICA
  • Fases de una conexión segura con PS4 /27. Cuando el usuario hace click en una de las aplicaciones, el Web Interfaceprocede a construir el fichero ICA que va a ser enviado al usuario para que loejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá queincluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite unticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale elticket]8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía alnavegador del cliente. La única dirección que contiene el fichero ICA es el FQDN delSecure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo deficheros ICA.
  • Transformación del fichero ICA con datos del STA
  • Fases de una conexión segura PS4 /39. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta alSG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSLpara establecer la identidad del Secure Gateway.10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contactacon el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STApasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debede conectarse.11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSLque les comunica, y encamina ese tráfico al servidor Metaframe.
  • Secure Gateway STA Frequently Asked QuestionsCTX101997
  • INSTALACIÓN DE SECURE GATEWAY 3.0
  • CD de Componentes
  • Salimos de todos los programas
  • Aceptamos licencia
  • Single-hop DMZ
  • Directorio de la aplicación
  • Local User Account para el servicio SG
  • Última oportunidad para corregir
  • Instalado!
  • ¿Wizard? Aún no...
  • PREPARAMOS LA AUTORIDAD DE CERTIFICACIONPara configurar el Secure Gateway vamos a necesitar tener emitido un certificado para identificar al servidor
  • Instalamos los "Certificate Services"Componente de Windows
  • Tipo de Certification Authority
  • Nombre de la Certification Authority
  • Base de Datos de Certificados
  • Ok, paramos IIS
  • Tenemos en C:i386 el CD de Instalación
  • Ya somos Autoridad de CertificaciónPodemos emitir el certificado para identificar al servidor
  • SOLICITAMOS EL CERTIFICADO A LA AUTORIDAD
  • Interfaz web de solicitud de certificadoshttp://server/certsrv
  • Advanced Certificate Request
  • Create and submit a requesto to this CA
  • EL nombre debe coincidir con la URL que usaremosTipo de Certificado: Server Authentication Certificate
  • Wildcard Certificate SupportCitrix:"Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, acertificate issued to *.company.com. Wildcard certificates are supported by ICAclients version 7.0 and later."Brian Madden:"Have you ever wanted to use wildcards certificates for your Secure Gateway? If so,this feature is now supported with CSG 3.0. For example, if you hostwww.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you tosecure unlimited first-level subdomains."
  • Almacenar el certificado
  • Solo hay que pedir certificados a fuentes confiables
  • Solicitud en cursoVuelva usted mañana
  • Vamos a autorizar la emisión del certificado
  • Sección "Pending Requests"
  • Issue (emitir)
  • Voy a ver cómo va lo mio...View the status of a pending certificate request
  • Selecciono mi solicitud
  • Certificado preparado!Lo instalo
  • He comprobado que esta web es confiable
  • El Certificado está instalado!
  • REANUDAMOS LA CONFIGURACION DEL SECURE GATEWAY Secure Gateway Configuration Wizard
  • Solo vamos a proteger Presentation Server
  • Tipo de Configuración Estándar
  • Seleccionamos el certificado del servidor
  • Monitor all IP addresses
  • No outbound traffic restrictions
  • En PS4 los STA son los servidores Citrix (podría ser cualquier máquina con tal de copiar en ella el directorio /Scripts)
  • Lista de STAs definidos
  • No queremos acceso directo al Web InterfaceTodos los accesos los va a controlar el Secure Gateway
  • Nivel de verbosidad del log de eventos
  • Configuración terminada!Start the Secure Gateway
  • Aún no se envían los ficheros ICA correctamenteSi conectamos con el Secure Gateway, la conexión es segura (https), pero losarchivos ICA que nos envía contienen direcciones IP de la red interna.
  • Configuración del Web InterfaceManage Secure Access ClientsTenemos que actuar sobre:"Edit DMZ settings" y "Edit Secure Gateway settings"
  • Edit DMZ settingsOpción por defecto: directo al web interface
  • Edit DMZ settingsCambiamos a "Secure Gateway Direct"
  • DMZ Settings ok!
  • Secure Gateway SettingsConfiguro los dos interlocutores del SG: el STA y los datos .ICA que enviaré al usuario
  • Probemos ahora!Aceptamos el certificado (no conoce CACurso como emisora de certificados)
  • Detalles del certificado
  • Damos nuestras credenciales al Web Interface
  • Ahora el fichero ICA está correcto!Contiene el ticket emitido por el STA y los datos para la conexión SSL
  • El cliente ICA no acepta certificados emitidos por fuentes no seguras!
  • Hay que instalar en el cliente el certificado de la CALo publicamos en algun lugar accesible desde Internet para que el usuario se lo instale
  • Antes de la primera conexión hay que instalar en el cliente elcertificado de la CA
  • Aviso de seguridadVamos a importar un certificado confiable, lo abrimos
  • EL certificado es correcto, lo instalamos
  • Asistente para importación de certificados
  • Seleccionar automáticamente el almacén
  • Última oportunidad para rectificar
  • Comprobar la huella digital del certificado!Es correcta, lo instalamos
  • Certificado de la CA importado!
  • Comprobamos que el certificado está en el almacén
  • Ahora ya puedo acceder a mis aplicaciones!
  • LinksCTX19376Best Practices for Securing a Citrix Secure Gateway Deployment