SlideShare uma empresa Scribd logo

Acceso seguro a aplicaciones Citrix con Secure Gateway 3.0

Joaquin Herrero
Joaquin Herrero

Este documento describe la configuración de Citrix Secure Gateway 3.0 para proteger el acceso a aplicaciones publicadas con Presentation Server 4. Explica los componentes que intervienen como el Web Interface, Secure Ticket Authority y cliente ICA. Detalla las fases de una conexión segura incluyendo la emisión de tickets por el STA y la transformación del fichero ICA. Además, guía la instalación de Secure Gateway, una autoridad de certificación y la configuración del Web Interface para enviar ficheros ICA correctos con la información del STA.

Tecnologia
1 de 81
TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Secure Gateway 3.0 INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA Plan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintado de la información y las comunicaciones jherrero@mma.es
Contenido Interlocutores del Secure Gateway Características Fases de una conexión segura a una granja Presentation Server 4 Preguntas frecuentes sobre el STA (Secure Ticket Authority) Instalación de Secure Gateway 3.0 Configuración de una autoridad de certificación Emisión del certificado de identidad del servidor Secure Gateway Configuration Wizard Configuración del Web Interface DMZ settings Secure Gateway settings Estrategia para desplegar el certificado de la CA
Secure Gateway 3.0 Es el perímetro de seguridad para proteger accesos a Presentation Server. Encripta y autentica las conexiones Se instala en la DMZ El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO Puede ser redundante Componentes con los que habla el SG: 1. el Web Interface 2. el Secure Ticket Authority (STA) 3. el Citrix XML Service 4. el cliente ICA (Web client o PNAgent)
Componentes con los que habla el Secure Gateway 1. WEB INTERFACE -WI- Proporciona el interface de logon Proporciona los servicios de autenticación y autorización 2. SECURE TICKET AUTHORITY -STA- Proporciona un TICKET en respuesta a una petición de conexión a una aplicación publicada en entorno Metaframe. Estos tickets son la base del sistema de autenticaci ón y autorización. Se instala automáticamente al instalar PS4, no es necesario un servidor aparte (como sucedía antes) 3. CITRIX XML SERVICE El XML Service es el punto de contacto inicial con una granja de servidores. Informa de la disponibilidad y localización de las aplicaciones publicadas.
Secure Gateway 3.0 en DMZ "single hop" (un salto)
Caracteríticas del Secure Gateway /1 Soporta FTP, HTTP y TELNET Deployment más sencillo, ya que ahora el STA está incluido en Presentation Server y es instalado automáticamente Ya no es necesario IIS para el STA Manejo avanzado de certificados El wizard no permite seleccionar un certificado que no tenga clave privada El wizard verifica que el certificado esté instalado en el almacén de certificados Los log que usa el SG están en el formato standard de Apache Incluye performance counters para analizar el nivel de uso y carga
Caracteríticas del Secure Gateway /2 Basado en el código de Apache 2.x Usa SSL y PKI (estándares) Soporte de Session Reliability "When a session connection is interrupted, all open windows to published resources will remain visible while reconnection is automatically attempted in the background." Conexiones seguras sin necesidad de VPN’s Soporta DMZ single-hop o double-hop Consola compatible con MMC (es un snap-in) Mínima configuración en equipos cliente
Fases de una conexión segura con PS4 /1 1. El usuario abre un navegador y teclea https://www.secure-gateway.com 2. El SG pasa la petición al Web Interface 3. El WI responde al usuario mandándole una página de logon 4. El usuario introduce sus credenciales, que vuelven al WI a través del SG 5. El WI manda las credenciales al XML Service de la granja y obtiene la lista de aplicaciones que el usuario puede ejecutar 6. El WI compone la página web y la manda al usuario en forma de links a ficheros .ICA
Fases de una conexión segura con PS4 /2 7. Cuando el usuario hace click en una de las aplicaciones, el Web Interface procede a construir el fichero ICA que va a ser enviado al usuario para que lo ejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá que incluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite un ticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale el ticket] 8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía al navegador del cliente. La única dirección que contiene el fichero ICA es el FQDN del Secure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo de ficheros ICA.
Transformación del fichero ICA con datos del STA
Fases de una conexión segura PS4 /3 9. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta al SG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSL para establecer la identidad del Secure Gateway. 10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contacta con el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STA pasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debe de conectarse. 11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSL que les comunica, y encamina ese tráfico al servidor Metaframe.
Secure Gateway STA Frequently Asked Questions CTX101997
INSTALACIÓN DE SECURE GATEWAY 3.0
CD de Componentes
Salimos de todos los programas
Aceptamos licencia
Single-hop DMZ
Directorio de la aplicación
Local User Account para el servicio SG
Última oportunidad para corregir
Instalado!
¿Wizard? Aún no...
PREPARAMOS LA AUTORIDAD DE CERTIFICACION Para configurar el Secure Gateway vamos a necesitar tener emitido un certificado para identificar al servidor
Instalamos los "Certificate Services" Componente de Windows
Tipo de Certification Authority
Nombre de la Certification Authority
Base de Datos de Certificados
Ok, paramos IIS
Tenemos en C:i386 el CD de Instalación
Ya somos Autoridad de Certificación Podemos emitir el certificado para identificar al servidor
SOLICITAMOS EL CERTIFICADO A LA AUTORIDAD
Interfaz web de solicitud de certificados http://server/certsrv
Advanced Certificate Request
Create and submit a requesto to this CA
EL nombre debe coincidir con la URL que usaremos Tipo de Certificado: Server Authentication Certificate
Wildcard Certificate Support Citrix: "Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, a certificate issued to *.company.com. Wildcard certificates are supported by ICA clients version 7.0 and later." Brian Madden: "Have you ever wanted to use wildcards certificates for your Secure Gateway? If so, this feature is now supported with CSG 3.0. For example, if you host www.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you to secure unlimited first-level subdomains."
Almacenar el certificado
Solo hay que pedir certificados a fuentes confiables
Solicitud en curso Vuelva usted mañana
Vamos a autorizar la emisión del certificado
Sección "Pending Requests"
Issue (emitir)
Voy a ver cómo va lo mio... View the status of a pending certificate request
Selecciono mi solicitud
Certificado preparado! Lo instalo
He comprobado que esta web es confiable
El Certificado está instalado!
REANUDAMOS LA CONFIGURACION DEL SECURE GATEWAY Secure Gateway Configuration Wizard
Solo vamos a proteger Presentation Server
Tipo de Configuración Estándar
Seleccionamos el certificado del servidor
Monitor all IP addresses
No outbound traffic restrictions
En PS4 los STA son los servidores Citrix (podría ser cualquier máquina con tal de copiar en ella el directorio /Scripts)
Lista de STAs definidos
No queremos acceso directo al Web Interface Todos los accesos los va a controlar el Secure Gateway
Nivel de verbosidad del log de eventos
Configuración terminada! Start the Secure Gateway
Aún no se envían los ficheros ICA correctamente Si conectamos con el Secure Gateway, la conexión es segura (https), pero los archivos ICA que nos envía contienen direcciones IP de la red interna.
Configuración del Web Interface Manage Secure Access Clients Tenemos que actuar sobre: "Edit DMZ settings" y "Edit Secure Gateway settings"
Edit DMZ settings Opción por defecto: directo al web interface
Edit DMZ settings Cambiamos a "Secure Gateway Direct"
DMZ Settings ok!
Secure Gateway Settings Configuro los dos interlocutores del SG: el STA y los datos .ICA que enviaré al usuario
Probemos ahora! Aceptamos el certificado (no conoce CACurso como emisora de certificados)
Detalles del certificado
Damos nuestras credenciales al Web Interface
Ahora el fichero ICA está correcto! Contiene el ticket emitido por el STA y los datos para la conexión SSL
El cliente ICA no acepta certificados emitidos por fuentes no seguras!
Hay que instalar en el cliente el certificado de la CA Lo publicamos en algun lugar accesible desde Internet para que el usuario se lo instale
Antes de la primera conexión hay que instalar en el cliente el certificado de la CA
Aviso de seguridad Vamos a importar un certificado confiable, lo abrimos
EL certificado es correcto, lo instalamos
Asistente para importación de certificados
Seleccionar automáticamente el almacén
Última oportunidad para rectificar
Comprobar la huella digital del certificado! Es correcta, lo instalamos
Certificado de la CA importado!
Comprobamos que el certificado está en el almacén
Ahora ya puedo acceder a mis aplicaciones!
Links CTX19376 Best Practices for Securing a Citrix Secure Gateway Deployment

Recomendados

Citrix Web Interface
Citrix Web InterfaceCitrix Web Interface
Citrix Web InterfaceJoaquin Herrero
 
Análisis de clientes ICA
Análisis de clientes ICAAnálisis de clientes ICA
Análisis de clientes ICAJoaquin Herrero
 
Anatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsAnatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsJoaquin Herrero
 
Guia Del Usuario BeAnywhere Support Express
Guia Del Usuario BeAnywhere Support ExpressGuia Del Usuario BeAnywhere Support Express
Guia Del Usuario BeAnywhere Support ExpressBeAnywhere
 
2016 04 --curso_novedades_auto_firma
2016 04 --curso_novedades_auto_firma2016 04 --curso_novedades_auto_firma
2016 04 --curso_novedades_auto_firmaTomás García-Merás
 
Auditing SharePoint 2010
Auditing SharePoint 2010Auditing SharePoint 2010
Auditing SharePoint 2010Eventos Creativos
 
Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008Conferencias FIST
 
Examen intermedio ad
Examen intermedio adExamen intermedio ad
Examen intermedio adXavier Moreno Moreno
 

Recomendados

Citrix Web Interface
Citrix Web InterfaceCitrix Web Interface
Citrix Web InterfaceJoaquin Herrero
 
Análisis de clientes ICA
Análisis de clientes ICAAnálisis de clientes ICA
Análisis de clientes ICAJoaquin Herrero
 
Anatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsAnatomía del Inicio de Sesión en Windows
Anatomía del Inicio de Sesión en WindowsJoaquin Herrero
 
Guia Del Usuario BeAnywhere Support Express
Guia Del Usuario BeAnywhere Support ExpressGuia Del Usuario BeAnywhere Support Express
Guia Del Usuario BeAnywhere Support ExpressBeAnywhere
 
2016 04 --curso_novedades_auto_firma
2016 04 --curso_novedades_auto_firma2016 04 --curso_novedades_auto_firma
2016 04 --curso_novedades_auto_firmaTomás García-Merás
 
Auditing SharePoint 2010
Auditing SharePoint 2010Auditing SharePoint 2010
Auditing SharePoint 2010Eventos Creativos
 
Seguridad Windows Server 2008
Seguridad Windows Server 2008Seguridad Windows Server 2008
Seguridad Windows Server 2008Conferencias FIST
 
Examen intermedio ad
Examen intermedio adExamen intermedio ad
Examen intermedio adXavier Moreno Moreno
 
2015 10 - Curso Cliente @firma INAP día 2
2015 10 - Curso Cliente @firma INAP día 22015 10 - Curso Cliente @firma INAP día 2
2015 10 - Curso Cliente @firma INAP día 2Tomás García-Merás
 
Manual profit plus
Manual profit plusManual profit plus
Manual profit plusnorberthcv
 
Características de windows server 2008
Características de windows server 2008Características de windows server 2008
Características de windows server 2008DC03
 
Clase 05
Clase 05Clase 05
Clase 05Titiushko Jazz
 
Manual profit plus
Manual profit plusManual profit plus
Manual profit plusnorberthcv
 
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.Lorenzo Jose Mota Garcia
 
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...Herman Arnedo
 
App Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónApp Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónRamón Abruña
 
Seguridad j1v2
Seguridad j1v2Seguridad j1v2
Seguridad j1v2Moisés Cid Deza
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redErii Amaya
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redHilario Martinez
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redhectormi100
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redImelda Cortina
 
Jhon Cabana
Jhon CabanaJhon Cabana
Jhon Cabanajacksito
 
Protocolos ssl
Protocolos sslProtocolos ssl
Protocolos sslFelix Luque
 
Instalacion certificados-ssl
Instalacion certificados-sslInstalacion certificados-ssl
Instalacion certificados-sslComplethost Soluciones Internet
 
Conekta seguridad
Conekta seguridadConekta seguridad
Conekta seguridadconektame
 
4. vpn y ipsec
4. vpn y ipsec4. vpn y ipsec
4. vpn y ipsec1 2d
 
Protocolos de redes ssl
Protocolos de redes sslProtocolos de redes ssl
Protocolos de redes sslNaNy PiRe
 
Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSLDarwin Mejias
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 eCommerce Institute
 
Vpn SSL en Microsoft
Vpn SSL en MicrosoftVpn SSL en Microsoft
Vpn SSL en MicrosoftChema Alonso
 

Mais conteúdo relacionado

Mais procurados

2015 10 - Curso Cliente @firma INAP día 2
2015 10 - Curso Cliente @firma INAP día 22015 10 - Curso Cliente @firma INAP día 2
2015 10 - Curso Cliente @firma INAP día 2Tomás García-Merás
 
Manual profit plus
Manual profit plusManual profit plus
Manual profit plusnorberthcv
 
Características de windows server 2008
Características de windows server 2008Características de windows server 2008
Características de windows server 2008DC03
 
Manual profit plus
Manual profit plusManual profit plus
Manual profit plusnorberthcv
 
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.Lorenzo Jose Mota Garcia
 
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...Herman Arnedo
 

Mais procurados (7)

2015 10 - Curso Cliente @firma INAP día 2
2015 10 - Curso Cliente @firma INAP día 22015 10 - Curso Cliente @firma INAP día 2
2015 10 - Curso Cliente @firma INAP día 2
 
Manual profit plus
Manual profit plusManual profit plus
Manual profit plus
 
Características de windows server 2008
Características de windows server 2008Características de windows server 2008
Características de windows server 2008
 
Clase 05
Clase 05Clase 05
Clase 05
 
Manual profit plus
Manual profit plusManual profit plus
Manual profit plus
 
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
 
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
 

Semelhante a Acceso seguro a aplicaciones Citrix con Secure Gateway 3.0

App Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónApp Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónRamón Abruña
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redErii Amaya
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redhectormi100
 
Jhon Cabana
Jhon CabanaJhon Cabana
Jhon Cabanajacksito
 
Conekta seguridad
Conekta seguridadConekta seguridad
Conekta seguridadconektame
 
4. vpn y ipsec
4. vpn y ipsec4. vpn y ipsec
4. vpn y ipsec1 2d
 
Protocolos de redes ssl
Protocolos de redes sslProtocolos de redes ssl
Protocolos de redes sslNaNy PiRe
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 eCommerce Institute
 
Vpn SSL en Microsoft
Vpn SSL en MicrosoftVpn SSL en Microsoft
Vpn SSL en MicrosoftChema Alonso
 
Manual de usuarip: Instalación de certificados raíces
Manual de usuarip: Instalación de certificados raícesManual de usuarip: Instalación de certificados raíces
Manual de usuarip: Instalación de certificados raícesSecurity Data
 
Tendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceTendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceAlberto González
 

Semelhante a Acceso seguro a aplicaciones Citrix con Secure Gateway 3.0 (20)

App Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónApp Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificación
 
Seguridad j1v2
Seguridad j1v2Seguridad j1v2
Seguridad j1v2
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Jhon Cabana
Jhon CabanaJhon Cabana
Jhon Cabana
 
Protocolos ssl
Protocolos sslProtocolos ssl
Protocolos ssl
 
Instalacion certificados-ssl
Instalacion certificados-sslInstalacion certificados-ssl
Instalacion certificados-ssl
 
Conekta seguridad
Conekta seguridadConekta seguridad
Conekta seguridad
 
4. vpn y ipsec
4. vpn y ipsec4. vpn y ipsec
4. vpn y ipsec
 
Protocolos de redes ssl
Protocolos de redes sslProtocolos de redes ssl
Protocolos de redes ssl
 
Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSL
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015
 
Vpn SSL en Microsoft
Vpn SSL en MicrosoftVpn SSL en Microsoft
Vpn SSL en Microsoft
 
Manual de usuarip: Instalación de certificados raíces
Manual de usuarip: Instalación de certificados raícesManual de usuarip: Instalación de certificados raíces
Manual de usuarip: Instalación de certificados raíces
 
IEEE 802.1x
IEEE 802.1xIEEE 802.1x
IEEE 802.1x
 
01 sop pgdiht03
01 sop pgdiht0301 sop pgdiht03
01 sop pgdiht03
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
 
Tendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceTendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerce
 

Mais de Joaquin Herrero

Historia de la evolucion tecnologia de los servicios de terminal
Historia de la evolucion tecnologia de los servicios de terminalHistoria de la evolucion tecnologia de los servicios de terminal
Historia de la evolucion tecnologia de los servicios de terminalJoaquin Herrero
 
Introducción a las redes sociales y la Web 2.0
Introducción a las redes sociales y la Web 2.0Introducción a las redes sociales y la Web 2.0
Introducción a las redes sociales y la Web 2.0Joaquin Herrero
 
Breve historia y conceptos del Kernel
Breve historia y conceptos del KernelBreve historia y conceptos del Kernel
Breve historia y conceptos del KernelJoaquin Herrero
 
Kernel Internals: la memoria y cómo usar un kernel debugger
Kernel Internals: la memoria y cómo usar un kernel debuggerKernel Internals: la memoria y cómo usar un kernel debugger
Kernel Internals: la memoria y cómo usar un kernel debuggerJoaquin Herrero
 
Unidades de medida empleadas en informática
Unidades de medida empleadas en informáticaUnidades de medida empleadas en informática
Unidades de medida empleadas en informáticaJoaquin Herrero
 
Utilidades y bibliografía para administradores de sistemas
Utilidades y bibliografía para administradores de sistemasUtilidades y bibliografía para administradores de sistemas
Utilidades y bibliografía para administradores de sistemasJoaquin Herrero
 
¿Qué son las vulnerabilidades del software?
¿Qué son las vulnerabilidades del software?¿Qué son las vulnerabilidades del software?
¿Qué son las vulnerabilidades del software?Joaquin Herrero
 
Presentación Bumpho #congresoweb 2010
Presentación Bumpho #congresoweb 2010Presentación Bumpho #congresoweb 2010
Presentación Bumpho #congresoweb 2010Joaquin Herrero
 
Scripting en entornos Windows - Conceptos básicos
Scripting en entornos Windows - Conceptos básicosScripting en entornos Windows - Conceptos básicos
Scripting en entornos Windows - Conceptos básicosJoaquin Herrero
 
Presentation Server Software Development Kit
Presentation Server Software Development KitPresentation Server Software Development Kit
Presentation Server Software Development KitJoaquin Herrero
 
Debugging Tools for Windows
Debugging Tools for WindowsDebugging Tools for Windows
Debugging Tools for WindowsJoaquin Herrero
 
Seguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixSeguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixJoaquin Herrero
 
Optimizando la impresión de documentos en entornos SBC
Optimizando la impresión de documentos en entornos SBCOptimizando la impresión de documentos en entornos SBC
Optimizando la impresión de documentos en entornos SBCJoaquin Herrero
 
Server Based Computing: Historia, Conceptos y Arquitectura
Server Based Computing: Historia, Conceptos y ArquitecturaServer Based Computing: Historia, Conceptos y Arquitectura
Server Based Computing: Historia, Conceptos y ArquitecturaJoaquin Herrero
 
Trabajo en grupo con herramientas Web 2.0
Trabajo en grupo con herramientas Web 2.0Trabajo en grupo con herramientas Web 2.0
Trabajo en grupo con herramientas Web 2.0Joaquin Herrero
 
Introducción a los servicios de terminal de windows
Introducción a los servicios de terminal de windowsIntroducción a los servicios de terminal de windows
Introducción a los servicios de terminal de windowsJoaquin Herrero
 

Mais de Joaquin Herrero (16)

Historia de la evolucion tecnologia de los servicios de terminal
Historia de la evolucion tecnologia de los servicios de terminalHistoria de la evolucion tecnologia de los servicios de terminal
Historia de la evolucion tecnologia de los servicios de terminal
 
Introducción a las redes sociales y la Web 2.0
Introducción a las redes sociales y la Web 2.0Introducción a las redes sociales y la Web 2.0
Introducción a las redes sociales y la Web 2.0
 
Breve historia y conceptos del Kernel
Breve historia y conceptos del KernelBreve historia y conceptos del Kernel
Breve historia y conceptos del Kernel
 
Kernel Internals: la memoria y cómo usar un kernel debugger
Kernel Internals: la memoria y cómo usar un kernel debuggerKernel Internals: la memoria y cómo usar un kernel debugger
Kernel Internals: la memoria y cómo usar un kernel debugger
 
Unidades de medida empleadas en informática
Unidades de medida empleadas en informáticaUnidades de medida empleadas en informática
Unidades de medida empleadas en informática
 
Utilidades y bibliografía para administradores de sistemas
Utilidades y bibliografía para administradores de sistemasUtilidades y bibliografía para administradores de sistemas
Utilidades y bibliografía para administradores de sistemas
 
¿Qué son las vulnerabilidades del software?
¿Qué son las vulnerabilidades del software?¿Qué son las vulnerabilidades del software?
¿Qué son las vulnerabilidades del software?
 
Presentación Bumpho #congresoweb 2010
Presentación Bumpho #congresoweb 2010Presentación Bumpho #congresoweb 2010
Presentación Bumpho #congresoweb 2010
 
Scripting en entornos Windows - Conceptos básicos
Scripting en entornos Windows - Conceptos básicosScripting en entornos Windows - Conceptos básicos
Scripting en entornos Windows - Conceptos básicos
 
Presentation Server Software Development Kit
Presentation Server Software Development KitPresentation Server Software Development Kit
Presentation Server Software Development Kit
 
Debugging Tools for Windows
Debugging Tools for WindowsDebugging Tools for Windows
Debugging Tools for Windows
 
Seguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixSeguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación Citrix
 
Optimizando la impresión de documentos en entornos SBC
Optimizando la impresión de documentos en entornos SBCOptimizando la impresión de documentos en entornos SBC
Optimizando la impresión de documentos en entornos SBC
 
Server Based Computing: Historia, Conceptos y Arquitectura
Server Based Computing: Historia, Conceptos y ArquitecturaServer Based Computing: Historia, Conceptos y Arquitectura
Server Based Computing: Historia, Conceptos y Arquitectura
 
Trabajo en grupo con herramientas Web 2.0
Trabajo en grupo con herramientas Web 2.0Trabajo en grupo con herramientas Web 2.0
Trabajo en grupo con herramientas Web 2.0
 
Introducción a los servicios de terminal de windows
Introducción a los servicios de terminal de windowsIntroducción a los servicios de terminal de windows
Introducción a los servicios de terminal de windows
 

Último

Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 

Último (20)

Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 

Acceso seguro a aplicaciones Citrix con Secure Gateway 3.0

  • 1. TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Secure Gateway 3.0 INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA Plan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintado de la información y las comunicaciones jherrero@mma.es
  • 2. Contenido Interlocutores del Secure Gateway Características Fases de una conexión segura a una granja Presentation Server 4 Preguntas frecuentes sobre el STA (Secure Ticket Authority) Instalación de Secure Gateway 3.0 Configuración de una autoridad de certificación Emisión del certificado de identidad del servidor Secure Gateway Configuration Wizard Configuración del Web Interface DMZ settings Secure Gateway settings Estrategia para desplegar el certificado de la CA
  • 3. Secure Gateway 3.0 Es el perímetro de seguridad para proteger accesos a Presentation Server. Encripta y autentica las conexiones Se instala en la DMZ El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO Puede ser redundante Componentes con los que habla el SG: 1. el Web Interface 2. el Secure Ticket Authority (STA) 3. el Citrix XML Service 4. el cliente ICA (Web client o PNAgent)
  • 4. Componentes con los que habla el Secure Gateway 1. WEB INTERFACE -WI- Proporciona el interface de logon Proporciona los servicios de autenticación y autorización 2. SECURE TICKET AUTHORITY -STA- Proporciona un TICKET en respuesta a una petición de conexión a una aplicación publicada en entorno Metaframe. Estos tickets son la base del sistema de autenticaci ón y autorización. Se instala automáticamente al instalar PS4, no es necesario un servidor aparte (como sucedía antes) 3. CITRIX XML SERVICE El XML Service es el punto de contacto inicial con una granja de servidores. Informa de la disponibilidad y localización de las aplicaciones publicadas.
  • 5. Secure Gateway 3.0 en DMZ "single hop" (un salto)
  • 6. Caracteríticas del Secure Gateway /1 Soporta FTP, HTTP y TELNET Deployment más sencillo, ya que ahora el STA está incluido en Presentation Server y es instalado automáticamente Ya no es necesario IIS para el STA Manejo avanzado de certificados El wizard no permite seleccionar un certificado que no tenga clave privada El wizard verifica que el certificado esté instalado en el almacén de certificados Los log que usa el SG están en el formato standard de Apache Incluye performance counters para analizar el nivel de uso y carga
  • 7. Caracteríticas del Secure Gateway /2 Basado en el código de Apache 2.x Usa SSL y PKI (estándares) Soporte de Session Reliability "When a session connection is interrupted, all open windows to published resources will remain visible while reconnection is automatically attempted in the background." Conexiones seguras sin necesidad de VPN’s Soporta DMZ single-hop o double-hop Consola compatible con MMC (es un snap-in) Mínima configuración en equipos cliente
  • 8. Fases de una conexión segura con PS4 /1 1. El usuario abre un navegador y teclea https://www.secure-gateway.com 2. El SG pasa la petición al Web Interface 3. El WI responde al usuario mandándole una página de logon 4. El usuario introduce sus credenciales, que vuelven al WI a través del SG 5. El WI manda las credenciales al XML Service de la granja y obtiene la lista de aplicaciones que el usuario puede ejecutar 6. El WI compone la página web y la manda al usuario en forma de links a ficheros .ICA
  • 9. Fases de una conexión segura con PS4 /2 7. Cuando el usuario hace click en una de las aplicaciones, el Web Interface procede a construir el fichero ICA que va a ser enviado al usuario para que lo ejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá que incluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite un ticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale el ticket] 8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía al navegador del cliente. La única dirección que contiene el fichero ICA es el FQDN del Secure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo de ficheros ICA.
  • 10. Transformación del fichero ICA con datos del STA
  • 11. Fases de una conexión segura PS4 /3 9. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta al SG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSL para establecer la identidad del Secure Gateway. 10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contacta con el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STA pasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debe de conectarse. 11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSL que les comunica, y encamina ese tráfico al servidor Metaframe.
  • 12. Secure Gateway STA Frequently Asked Questions CTX101997
  • 13. INSTALACIÓN DE SECURE GATEWAY 3.0
  • 15. Salimos de todos los programas
  • 18. Directorio de la aplicación
  • 19. Local User Account para el servicio SG
  • 23. PREPARAMOS LA AUTORIDAD DE CERTIFICACION Para configurar el Secure Gateway vamos a necesitar tener emitido un certificado para identificar al servidor
  • 24. Instalamos los "Certificate Services" Componente de Windows
  • 26. Nombre de la Certification Authority
  • 27. Base de Datos de Certificados
  • 29. Tenemos en C:i386 el CD de Instalación
  • 30. Ya somos Autoridad de Certificación Podemos emitir el certificado para identificar al servidor
  • 31. SOLICITAMOS EL CERTIFICADO A LA AUTORIDAD
  • 32. Interfaz web de solicitud de certificados http://server/certsrv
  • 34. Create and submit a requesto to this CA
  • 35. EL nombre debe coincidir con la URL que usaremos Tipo de Certificado: Server Authentication Certificate
  • 36. Wildcard Certificate Support Citrix: "Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, a certificate issued to *.company.com. Wildcard certificates are supported by ICA clients version 7.0 and later." Brian Madden: "Have you ever wanted to use wildcards certificates for your Secure Gateway? If so, this feature is now supported with CSG 3.0. For example, if you host www.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you to secure unlimited first-level subdomains."
  • 38. Solo hay que pedir certificados a fuentes confiables
  • 39. Solicitud en curso Vuelva usted mañana
  • 40. Vamos a autorizar la emisión del certificado
  • 43. Voy a ver cómo va lo mio... View the status of a pending certificate request
  • 46. He comprobado que esta web es confiable
  • 47. El Certificado está instalado!
  • 48. REANUDAMOS LA CONFIGURACION DEL SECURE GATEWAY Secure Gateway Configuration Wizard
  • 49. Solo vamos a proteger Presentation Server
  • 52. Monitor all IP addresses
  • 53. No outbound traffic restrictions
  • 54. En PS4 los STA son los servidores Citrix (podría ser cualquier máquina con tal de copiar en ella el directorio /Scripts)
  • 55. Lista de STAs definidos
  • 56. No queremos acceso directo al Web Interface Todos los accesos los va a controlar el Secure Gateway
  • 57. Nivel de verbosidad del log de eventos
  • 59. Aún no se envían los ficheros ICA correctamente Si conectamos con el Secure Gateway, la conexión es segura (https), pero los archivos ICA que nos envía contienen direcciones IP de la red interna.
  • 60. Configuración del Web Interface Manage Secure Access Clients Tenemos que actuar sobre: "Edit DMZ settings" y "Edit Secure Gateway settings"
  • 61. Edit DMZ settings Opción por defecto: directo al web interface
  • 62. Edit DMZ settings Cambiamos a "Secure Gateway Direct"
  • 64. Secure Gateway Settings Configuro los dos interlocutores del SG: el STA y los datos .ICA que enviaré al usuario
  • 65. Probemos ahora! Aceptamos el certificado (no conoce CACurso como emisora de certificados)
  • 67. Damos nuestras credenciales al Web Interface
  • 68. Ahora el fichero ICA está correcto! Contiene el ticket emitido por el STA y los datos para la conexión SSL
  • 69. El cliente ICA no acepta certificados emitidos por fuentes no seguras!
  • 70. Hay que instalar en el cliente el certificado de la CA Lo publicamos en algun lugar accesible desde Internet para que el usuario se lo instale
  • 71. Antes de la primera conexión hay que instalar en el cliente el certificado de la CA
  • 72. Aviso de seguridad Vamos a importar un certificado confiable, lo abrimos
  • 73. EL certificado es correcto, lo instalamos
  • 74. Asistente para importación de certificados
  • 77. Comprobar la huella digital del certificado! Es correcta, lo instalamos
  • 78. Certificado de la CA importado!
  • 79. Comprobamos que el certificado está en el almacén
  • 80. Ahora ya puedo acceder a mis aplicaciones!
  • 81. Links CTX19376 Best Practices for Securing a Citrix Secure Gateway Deployment