Este documento describe la configuración de Citrix Secure Gateway 3.0 para proteger el acceso a aplicaciones publicadas con Presentation Server 4. Explica los componentes que intervienen como el Web Interface, Secure Ticket Authority y cliente ICA. Detalla las fases de una conexión segura incluyendo la emisión de tickets por el STA y la transformación del fichero ICA. Además, guía la instalación de Secure Gateway, una autoridad de certificación y la configuración del Web Interface para enviar ficheros ICA correctos con la información del STA.
Acceso seguro a aplicaciones Citrix con Secure Gateway 3.0
1. TIC 0271
Acceso a aplicaciones usando Citrix Metaframe
Secure Gateway 3.0
INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA
Plan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintado
de la información y las comunicaciones jherrero@mma.es
2. Contenido
Interlocutores del Secure Gateway
Características
Fases de una conexión segura a una granja Presentation Server 4
Preguntas frecuentes sobre el STA (Secure Ticket Authority)
Instalación de Secure Gateway 3.0
Configuración de una autoridad de certificación
Emisión del certificado de identidad del servidor
Secure Gateway Configuration Wizard
Configuración del Web Interface
DMZ settings
Secure Gateway settings
Estrategia para desplegar el certificado de la CA
3. Secure Gateway 3.0
Es el perímetro de seguridad para proteger accesos a Presentation Server.
Encripta y autentica las conexiones
Se instala en la DMZ
El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO
Puede ser redundante
Componentes con los que habla el SG:
1. el Web Interface
2. el Secure Ticket Authority (STA)
3. el Citrix XML Service
4. el cliente ICA (Web client o PNAgent)
4. Componentes con los que habla el Secure Gateway
1. WEB INTERFACE -WI-
Proporciona el interface de logon
Proporciona los servicios de autenticación y autorización
2. SECURE TICKET AUTHORITY -STA-
Proporciona un TICKET en respuesta a una petición de conexión a una aplicación
publicada en entorno Metaframe. Estos tickets son la base del sistema de autenticaci
ón y autorización. Se instala automáticamente al instalar PS4, no es necesario un
servidor aparte (como sucedía antes)
3. CITRIX XML SERVICE
El XML Service es el punto de contacto inicial con una granja de servidores. Informa
de la disponibilidad y localización de las aplicaciones publicadas.
6. Caracteríticas del Secure Gateway /1
Soporta FTP, HTTP y TELNET
Deployment más sencillo, ya que ahora el STA está incluido en Presentation
Server y es instalado automáticamente
Ya no es necesario IIS para el STA
Manejo avanzado de certificados
El wizard no permite seleccionar un certificado que no tenga clave privada
El wizard verifica que el certificado esté instalado en el almacén de certificados
Los log que usa el SG están en el formato standard de Apache
Incluye performance counters para analizar el nivel de uso y carga
7. Caracteríticas del Secure Gateway /2
Basado en el código de Apache 2.x
Usa SSL y PKI (estándares)
Soporte de Session Reliability
"When a session connection is interrupted, all open windows to published resources will remain visible while
reconnection is automatically attempted in the background."
Conexiones seguras sin necesidad de VPN’s
Soporta DMZ single-hop o double-hop
Consola compatible con MMC (es un snap-in)
Mínima configuración en equipos cliente
8. Fases de una conexión segura con PS4 /1
1. El usuario abre un navegador y teclea
https://www.secure-gateway.com
2. El SG pasa la petición al Web Interface
3. El WI responde al usuario mandándole una página de logon
4. El usuario introduce sus credenciales, que vuelven al WI a través del SG
5. El WI manda las credenciales al XML Service de la granja y obtiene la lista de
aplicaciones que el usuario puede ejecutar
6. El WI compone la página web y la manda al usuario en forma de links a ficheros
.ICA
9. Fases de una conexión segura con PS4 /2
7. Cuando el usuario hace click en una de las aplicaciones, el Web Interface
procede a construir el fichero ICA que va a ser enviado al usuario para que lo
ejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá que
incluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite un
ticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale el
ticket]
8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía al
navegador del cliente. La única dirección que contiene el fichero ICA es el FQDN del
Secure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo de
ficheros ICA.
11. Fases de una conexión segura PS4 /3
9. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta al
SG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSL
para establecer la identidad del Secure Gateway.
10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contacta
con el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STA
pasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debe
de conectarse.
11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSL
que les comunica, y encamina ese tráfico al servidor Metaframe.
23. PREPARAMOS LA AUTORIDAD DE CERTIFICACION
Para configurar el Secure Gateway vamos a necesitar tener
emitido un certificado para identificar al servidor
35. EL nombre debe coincidir con la URL que usaremos
Tipo de Certificado: Server Authentication Certificate
36. Wildcard Certificate Support
Citrix:
"Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, a
certificate issued to *.company.com. Wildcard certificates are supported by ICA
clients version 7.0 and later."
Brian Madden:
"Have you ever wanted to use wildcards certificates for your Secure Gateway? If so,
this feature is now supported with CSG 3.0. For example, if you host
www.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you to
secure unlimited first-level subdomains."
59. Aún no se envían los ficheros ICA correctamente
Si conectamos con el Secure Gateway, la conexión es segura (https), pero los
archivos ICA que nos envía contienen direcciones IP de la red interna.
60. Configuración del Web Interface
Manage Secure Access Clients
Tenemos que actuar sobre:
"Edit DMZ settings" y "Edit Secure Gateway settings"