Advertisement
Citrix Secure Gateway
May. 7, 2011•0 likes•1,226 views
1 likes
Be the first to like this
Show More
views
Total views
0
On Slideshare
0
From embeds
0
Number of embeds
0
Report
Technology
Interlocutores del Secure Gateway Fases de una conexión segura a una granja PS4 Preguntas frecuentes sobre el STA Instalación de Secure Garreateway 3.0 Configuración de una autoridad de certificación Emisión del certificado de identidad del servidor Secure Gateway Configuration Wizard Reconfiguración del Web Interface para usar el Secure Gateway
Joaquin HerreroFollow
Advertisement
Advertisement
Advertisement
Citrix Secure Gateway
- TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Secure Gateway 3.0 INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA Plan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintado de la información y las comunicaciones jherrero@mma.es
- Contenido Interlocutores del Secure Gateway Características Fases de una conexión segura a una granja Presentation Server 4 Preguntas frecuentes sobre el STA (Secure Ticket Authority) Instalación de Secure Gateway 3.0 Configuración de una autoridad de certificación Emisión del certificado de identidad del servidor Secure Gateway Configuration Wizard Configuración del Web Interface DMZ settings Secure Gateway settings Estrategia para desplegar el certificado de la CA
- Secure Gateway 3.0 Es el perímetro de seguridad para proteger accesos a Presentation Server. Encripta y autentica las conexiones Se instala en la DMZ El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO Puede ser redundante Componentes con los que habla el SG: 1. el Web Interface 2. el Secure Ticket Authority (STA) 3. el Citrix XML Service 4. el cliente ICA (Web client o PNAgent)
- Componentes con los que habla el Secure Gateway 1. WEB INTERFACE -WI- Proporciona el interface de logon Proporciona los servicios de autenticación y autorización 2. SECURE TICKET AUTHORITY -STA- Proporciona un TICKET en respuesta a una petición de conexión a una aplicación publicada en entorno Metaframe. Estos tickets son la base del sistema de autenticaci ón y autorización. Se instala automáticamente al instalar PS4, no es necesario un servidor aparte (como sucedía antes) 3. CITRIX XML SERVICE El XML Service es el punto de contacto inicial con una granja de servidores. Informa de la disponibilidad y localización de las aplicaciones publicadas.
- Secure Gateway 3.0 en DMZ "single hop" (un salto)
- Caracteríticas del Secure Gateway /1 Soporta FTP, HTTP y TELNET Deployment más sencillo, ya que ahora el STA está incluido en Presentation Server y es instalado automáticamente Ya no es necesario IIS para el STA Manejo avanzado de certificados El wizard no permite seleccionar un certificado que no tenga clave privada El wizard verifica que el certificado esté instalado en el almacén de certificados Los log que usa el SG están en el formato standard de Apache Incluye performance counters para analizar el nivel de uso y carga
- Caracteríticas del Secure Gateway /2 Basado en el código de Apache 2.x Usa SSL y PKI (estándares) Soporte de Session Reliability "When a session connection is interrupted, all open windows to published resources will remain visible while reconnection is automatically attempted in the background." Conexiones seguras sin necesidad de VPN’s Soporta DMZ single-hop o double-hop Consola compatible con MMC (es un snap-in) Mínima configuración en equipos cliente
- Fases de una conexión segura con PS4 /1 1. El usuario abre un navegador y teclea https://www.secure-gateway.com 2. El SG pasa la petición al Web Interface 3. El WI responde al usuario mandándole una página de logon 4. El usuario introduce sus credenciales, que vuelven al WI a través del SG 5. El WI manda las credenciales al XML Service de la granja y obtiene la lista de aplicaciones que el usuario puede ejecutar 6. El WI compone la página web y la manda al usuario en forma de links a ficheros .ICA
- Fases de una conexión segura con PS4 /2 7. Cuando el usuario hace click en una de las aplicaciones, el Web Interface procede a construir el fichero ICA que va a ser enviado al usuario para que lo ejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá que incluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite un ticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale el ticket] 8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía al navegador del cliente. La única dirección que contiene el fichero ICA es el FQDN del Secure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo de ficheros ICA.
- Transformación del fichero ICA con datos del STA
- Fases de una conexión segura PS4 /3 9. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta al SG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSL para establecer la identidad del Secure Gateway. 10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contacta con el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STA pasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debe de conectarse. 11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSL que les comunica, y encamina ese tráfico al servidor Metaframe.
- Secure Gateway STA Frequently Asked Questions CTX101997
- INSTALACIÓN DE SECURE GATEWAY 3.0
- CD de Componentes
- Salimos de todos los programas
- Aceptamos licencia
- Single-hop DMZ
- Directorio de la aplicación
- Local User Account para el servicio SG
- Última oportunidad para corregir
- Instalado!
- ¿Wizard? Aún no...
- PREPARAMOS LA AUTORIDAD DE CERTIFICACION Para configurar el Secure Gateway vamos a necesitar tener emitido un certificado para identificar al servidor
- Instalamos los "Certificate Services" Componente de Windows
- Tipo de Certification Authority
- Nombre de la Certification Authority
- Base de Datos de Certificados
- Ok, paramos IIS
- Tenemos en C:i386 el CD de Instalación
- Ya somos Autoridad de Certificación Podemos emitir el certificado para identificar al servidor
- SOLICITAMOS EL CERTIFICADO A LA AUTORIDAD
- Interfaz web de solicitud de certificados http://server/certsrv
- Advanced Certificate Request
- Create and submit a requesto to this CA
- EL nombre debe coincidir con la URL que usaremos Tipo de Certificado: Server Authentication Certificate
- Wildcard Certificate Support Citrix: "Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, a certificate issued to *.company.com. Wildcard certificates are supported by ICA clients version 7.0 and later." Brian Madden: "Have you ever wanted to use wildcards certificates for your Secure Gateway? If so, this feature is now supported with CSG 3.0. For example, if you host www.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you to secure unlimited first-level subdomains."
- Almacenar el certificado
- Solo hay que pedir certificados a fuentes confiables
- Solicitud en curso Vuelva usted mañana
- Vamos a autorizar la emisión del certificado
- Sección "Pending Requests"
- Issue (emitir)
- Voy a ver cómo va lo mio... View the status of a pending certificate request
- Selecciono mi solicitud
- Certificado preparado! Lo instalo
- He comprobado que esta web es confiable
- El Certificado está instalado!
- REANUDAMOS LA CONFIGURACION DEL SECURE GATEWAY Secure Gateway Configuration Wizard
- Solo vamos a proteger Presentation Server
- Tipo de Configuración Estándar
- Seleccionamos el certificado del servidor
- Monitor all IP addresses
- No outbound traffic restrictions
- En PS4 los STA son los servidores Citrix (podría ser cualquier máquina con tal de copiar en ella el directorio /Scripts)
- Lista de STAs definidos
- No queremos acceso directo al Web Interface Todos los accesos los va a controlar el Secure Gateway
- Nivel de verbosidad del log de eventos
- Configuración terminada! Start the Secure Gateway
- Aún no se envían los ficheros ICA correctamente Si conectamos con el Secure Gateway, la conexión es segura (https), pero los archivos ICA que nos envía contienen direcciones IP de la red interna.
- Configuración del Web Interface Manage Secure Access Clients Tenemos que actuar sobre: "Edit DMZ settings" y "Edit Secure Gateway settings"
- Edit DMZ settings Opción por defecto: directo al web interface
- Edit DMZ settings Cambiamos a "Secure Gateway Direct"
- DMZ Settings ok!
- Secure Gateway Settings Configuro los dos interlocutores del SG: el STA y los datos .ICA que enviaré al usuario
- Probemos ahora! Aceptamos el certificado (no conoce CACurso como emisora de certificados)
- Detalles del certificado
- Damos nuestras credenciales al Web Interface
- Ahora el fichero ICA está correcto! Contiene el ticket emitido por el STA y los datos para la conexión SSL
- El cliente ICA no acepta certificados emitidos por fuentes no seguras!
- Hay que instalar en el cliente el certificado de la CA Lo publicamos en algun lugar accesible desde Internet para que el usuario se lo instale
- Antes de la primera conexión hay que instalar en el cliente el certificado de la CA
- Aviso de seguridad Vamos a importar un certificado confiable, lo abrimos
- EL certificado es correcto, lo instalamos
- Asistente para importación de certificados
- Seleccionar automáticamente el almacén
- Última oportunidad para rectificar
- Comprobar la huella digital del certificado! Es correcta, lo instalamos
- Certificado de la CA importado!
- Comprobamos que el certificado está en el almacén
- Ahora ya puedo acceder a mis aplicaciones!
- Links CTX19376 Best Practices for Securing a Citrix Secure Gateway Deployment
Advertisement