Citrix Secure Gateway

TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Secure Gateway 3.0INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICAPlan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintadode la información y las comunicaciones jherrero@mma.es

ContenidoInterlocutores del Secure GatewayCaracterísticasFases de una conexión segura a una granja Presentation Server 4Preguntas frecuentes sobre el STA (Secure Ticket Authority)Instalación de Secure Gateway 3.0Configuración de una autoridad de certificaciónEmisión del certificado de identidad del servidorSecure Gateway Configuration WizardConfiguración del Web Interface DMZ settings Secure Gateway settingsEstrategia para desplegar el certificado de la CA

Secure Gateway 3.0Es el perímetro de seguridad para proteger accesos a Presentation Server. Encripta y autentica las conexiones Se instala en la DMZ El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO Puede ser redundanteComponentes con los que habla el SG: 1. el Web Interface 2. el Secure Ticket Authority (STA) 3. el Citrix XML Service 4. el cliente ICA (Web client o PNAgent)

Componentes con los que habla el Secure Gateway1. WEB INTERFACE -WI-Proporciona el interface de logonProporciona los servicios de autenticación y autorización2. SECURE TICKET AUTHORITY -STA-Proporciona un TICKET en respuesta a una petición de conexión a una aplicaciónpublicada en entorno Metaframe. Estos tickets son la base del sistema de autenticación y autorización. Se instala automáticamente al instalar PS4, no es necesario unservidor aparte (como sucedía antes)3. CITRIX XML SERVICEEl XML Service es el punto de contacto inicial con una granja de servidores. Informade la disponibilidad y localización de las aplicaciones publicadas.

Secure Gateway 3.0 en DMZ "single hop" (un salto)

Caracteríticas del Secure Gateway /1 Soporta FTP, HTTP y TELNET Deployment más sencillo, ya que ahora el STA está incluido en Presentation Server y es instalado automáticamente Ya no es necesario IIS para el STA Manejo avanzado de certificados El wizard no permite seleccionar un certificado que no tenga clave privada El wizard verifica que el certificado esté instalado en el almacén de certificados Los log que usa el SG están en el formato standard de Apache Incluye performance counters para analizar el nivel de uso y carga

Caracteríticas del Secure Gateway /2 Basado en el código de Apache 2.x Usa SSL y PKI (estándares) Soporte de Session Reliability "When a session connection is interrupted, all open windows to published resources will remain visible while reconnection is automatically attempted in the background." Conexiones seguras sin necesidad de VPN’s Soporta DMZ single-hop o double-hop Consola compatible con MMC (es un snap-in) Mínima configuración en equipos cliente

Fases de una conexión segura con PS4 /11. El usuario abre un navegador y teclea https://www.secure-gateway.com2. El SG pasa la petición al Web Interface3. El WI responde al usuario mandándole una página de logon4. El usuario introduce sus credenciales, que vuelven al WI a través del SG5. El WI manda las credenciales al XML Service de la granja y obtiene la lista deaplicaciones que el usuario puede ejecutar6. El WI compone la página web y la manda al usuario en forma de links a ficheros.ICA

Fases de una conexión segura con PS4 /27. Cuando el usuario hace click en una de las aplicaciones, el Web Interfaceprocede a construir el fichero ICA que va a ser enviado al usuario para que loejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá queincluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite unticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale elticket]8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía alnavegador del cliente. La única dirección que contiene el fichero ICA es el FQDN delSecure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo deficheros ICA.

Transformación del fichero ICA con datos del STA

Fases de una conexión segura PS4 /39. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta alSG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSLpara establecer la identidad del Secure Gateway.10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contactacon el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STApasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debede conectarse.11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSLque les comunica, y encamina ese tráfico al servidor Metaframe.

Secure Gateway STA Frequently Asked QuestionsCTX101997

INSTALACIÓN DE SECURE GATEWAY 3.0

CD de Componentes

Salimos de todos los programas

Aceptamos licencia

Single-hop DMZ

Directorio de la aplicación

Local User Account para el servicio SG

Última oportunidad para corregir

Instalado!

¿Wizard? Aún no...

PREPARAMOS LA AUTORIDAD DE CERTIFICACIONPara configurar el Secure Gateway vamos a necesitar tener emitido un certificado para identificar al servidor

Instalamos los "Certificate Services"Componente de Windows

Tipo de Certification Authority

Nombre de la Certification Authority

Base de Datos de Certificados

Ok, paramos IIS

Tenemos en C:i386 el CD de Instalación

Ya somos Autoridad de CertificaciónPodemos emitir el certificado para identificar al servidor

SOLICITAMOS EL CERTIFICADO A LA AUTORIDAD

Interfaz web de solicitud de certificadoshttp://server/certsrv

Advanced Certificate Request

Create and submit a requesto to this CA

EL nombre debe coincidir con la URL que usaremosTipo de Certificado: Server Authentication Certificate

Wildcard Certificate SupportCitrix:"Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, acertificate issued to *.company.com. Wildcard certificates are supported by ICAclients version 7.0 and later."Brian Madden:"Have you ever wanted to use wildcards certificates for your Secure Gateway? If so,this feature is now supported with CSG 3.0. For example, if you hostwww.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you tosecure unlimited first-level subdomains."

Almacenar el certificado

Solo hay que pedir certificados a fuentes confiables

Solicitud en cursoVuelva usted mañana

Vamos a autorizar la emisión del certificado

Sección "Pending Requests"

Issue (emitir)

Voy a ver cómo va lo mio...View the status of a pending certificate request

Selecciono mi solicitud

Certificado preparado!Lo instalo

He comprobado que esta web es confiable

El Certificado está instalado!

REANUDAMOS LA CONFIGURACION DEL SECURE GATEWAY Secure Gateway Configuration Wizard

Solo vamos a proteger Presentation Server

Tipo de Configuración Estándar

Seleccionamos el certificado del servidor

Monitor all IP addresses

No outbound traffic restrictions

En PS4 los STA son los servidores Citrix (podría ser cualquier máquina con tal de copiar en ella el directorio /Scripts)

Lista de STAs definidos

No queremos acceso directo al Web InterfaceTodos los accesos los va a controlar el Secure Gateway

Nivel de verbosidad del log de eventos

Configuración terminada!Start the Secure Gateway

Aún no se envían los ficheros ICA correctamenteSi conectamos con el Secure Gateway, la conexión es segura (https), pero losarchivos ICA que nos envía contienen direcciones IP de la red interna.

Configuración del Web InterfaceManage Secure Access ClientsTenemos que actuar sobre:"Edit DMZ settings" y "Edit Secure Gateway settings"

Edit DMZ settingsOpción por defecto: directo al web interface

Edit DMZ settingsCambiamos a "Secure Gateway Direct"

DMZ Settings ok!

Secure Gateway SettingsConfiguro los dos interlocutores del SG: el STA y los datos .ICA que enviaré al usuario

Probemos ahora!Aceptamos el certificado (no conoce CACurso como emisora de certificados)

Detalles del certificado

Damos nuestras credenciales al Web Interface

Ahora el fichero ICA está correcto!Contiene el ticket emitido por el STA y los datos para la conexión SSL

El cliente ICA no acepta certificados emitidos por fuentes no seguras!

Hay que instalar en el cliente el certificado de la CALo publicamos en algun lugar accesible desde Internet para que el usuario se lo instale

Antes de la primera conexión hay que instalar en el cliente elcertificado de la CA

Aviso de seguridadVamos a importar un certificado confiable, lo abrimos

EL certificado es correcto, lo instalamos

Asistente para importación de certificados

Seleccionar automáticamente el almacén

Última oportunidad para rectificar

Comprobar la huella digital del certificado!Es correcta, lo instalamos

Certificado de la CA importado!

Comprobamos que el certificado está en el almacén

Ahora ya puedo acceder a mis aplicaciones!

LinksCTX19376Best Practices for Securing a Citrix Secure Gateway Deployment

http://misdocumentos.net	105
http://www.misdocumentos.net	80
http://creativecodeworks.com	30
http://webcache.googleusercontent.com	5

Citrix Secure Gateway

by Joaquin Herrero on May 07, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 220

Statistics

Citrix Secure Gateway — Presentation Transcript