SlideShare una empresa de Scribd logo

Citrix Secure Gateway

Joaquin Herrero, profile picture
Joaquin Herrero

Este documento describe la configuración de Citrix Secure Gateway 3.0 para proteger el acceso a aplicaciones publicadas con Presentation Server 4. Explica los componentes que intervienen como el Web Interface, Secure Ticket Authority y cliente ICA. Detalla las fases de una conexión segura incluyendo la emisión de tickets por el STA y la transformación del fichero ICA. Además, guía la instalación de Secure Gateway, una autoridad de certificación y la configuración del Web Interface para enviar ficheros ICA correctos con la información del STA.

Tecnología
1 de 81
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Secure Gateway 3.0 INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA Plan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintado de la información y las comunicaciones jherrero@mma.es
Contenido Interlocutores del Secure Gateway Características Fases de una conexión segura a una granja Presentation Server 4 Preguntas frecuentes sobre el STA (Secure Ticket Authority) Instalación de Secure Gateway 3.0 Configuración de una autoridad de certificación Emisión del certificado de identidad del servidor Secure Gateway Configuration Wizard Configuración del Web Interface DMZ settings Secure Gateway settings Estrategia para desplegar el certificado de la CA
Secure Gateway 3.0 Es el perímetro de seguridad para proteger accesos a Presentation Server. Encripta y autentica las conexiones Se instala en la DMZ El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO Puede ser redundante Componentes con los que habla el SG: 1. el Web Interface 2. el Secure Ticket Authority (STA) 3. el Citrix XML Service 4. el cliente ICA (Web client o PNAgent)
Componentes con los que habla el Secure Gateway 1. WEB INTERFACE -WI- Proporciona el interface de logon Proporciona los servicios de autenticación y autorización 2. SECURE TICKET AUTHORITY -STA- Proporciona un TICKET en respuesta a una petición de conexión a una aplicación publicada en entorno Metaframe. Estos tickets son la base del sistema de autenticaci ón y autorización. Se instala automáticamente al instalar PS4, no es necesario un servidor aparte (como sucedía antes) 3. CITRIX XML SERVICE El XML Service es el punto de contacto inicial con una granja de servidores. Informa de la disponibilidad y localización de las aplicaciones publicadas.
Secure Gateway 3.0 en DMZ "single hop" (un salto)
Caracteríticas del Secure Gateway /1 Soporta FTP, HTTP y TELNET Deployment más sencillo, ya que ahora el STA está incluido en Presentation Server y es instalado automáticamente Ya no es necesario IIS para el STA Manejo avanzado de certificados El wizard no permite seleccionar un certificado que no tenga clave privada El wizard verifica que el certificado esté instalado en el almacén de certificados Los log que usa el SG están en el formato standard de Apache Incluye performance counters para analizar el nivel de uso y carga
Caracteríticas del Secure Gateway /2 Basado en el código de Apache 2.x Usa SSL y PKI (estándares) Soporte de Session Reliability "When a session connection is interrupted, all open windows to published resources will remain visible while reconnection is automatically attempted in the background." Conexiones seguras sin necesidad de VPN’s Soporta DMZ single-hop o double-hop Consola compatible con MMC (es un snap-in) Mínima configuración en equipos cliente
Fases de una conexión segura con PS4 /1 1. El usuario abre un navegador y teclea https://www.secure-gateway.com 2. El SG pasa la petición al Web Interface 3. El WI responde al usuario mandándole una página de logon 4. El usuario introduce sus credenciales, que vuelven al WI a través del SG 5. El WI manda las credenciales al XML Service de la granja y obtiene la lista de aplicaciones que el usuario puede ejecutar 6. El WI compone la página web y la manda al usuario en forma de links a ficheros .ICA
Fases de una conexión segura con PS4 /2 7. Cuando el usuario hace click en una de las aplicaciones, el Web Interface procede a construir el fichero ICA que va a ser enviado al usuario para que lo ejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá que incluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite un ticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale el ticket] 8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía al navegador del cliente. La única dirección que contiene el fichero ICA es el FQDN del Secure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo de ficheros ICA.
Transformación del fichero ICA con datos del STA
Fases de una conexión segura PS4 /3 9. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta al SG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSL para establecer la identidad del Secure Gateway. 10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contacta con el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STA pasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debe de conectarse. 11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSL que les comunica, y encamina ese tráfico al servidor Metaframe.
Secure Gateway STA Frequently Asked Questions CTX101997
INSTALACIÓN DE SECURE GATEWAY 3.0
CD de Componentes
Salimos de todos los programas
Aceptamos licencia
Single-hop DMZ
Directorio de la aplicación
Local User Account para el servicio SG
Última oportunidad para corregir
Instalado!
¿Wizard? Aún no...
PREPARAMOS LA AUTORIDAD DE CERTIFICACION Para configurar el Secure Gateway vamos a necesitar tener emitido un certificado para identificar al servidor
Instalamos los "Certificate Services" Componente de Windows
Tipo de Certification Authority
Nombre de la Certification Authority
Base de Datos de Certificados
Ok, paramos IIS
Tenemos en C:i386 el CD de Instalación
Ya somos Autoridad de Certificación Podemos emitir el certificado para identificar al servidor
SOLICITAMOS EL CERTIFICADO A LA AUTORIDAD
Interfaz web de solicitud de certificados http://server/certsrv
Advanced Certificate Request
Create and submit a requesto to this CA
EL nombre debe coincidir con la URL que usaremos Tipo de Certificado: Server Authentication Certificate
Wildcard Certificate Support Citrix: "Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, a certificate issued to *.company.com. Wildcard certificates are supported by ICA clients version 7.0 and later." Brian Madden: "Have you ever wanted to use wildcards certificates for your Secure Gateway? If so, this feature is now supported with CSG 3.0. For example, if you host www.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you to secure unlimited first-level subdomains."
Almacenar el certificado
Solo hay que pedir certificados a fuentes confiables
Solicitud en curso Vuelva usted mañana
Vamos a autorizar la emisión del certificado
Sección "Pending Requests"
Issue (emitir)
Voy a ver cómo va lo mio... View the status of a pending certificate request
Selecciono mi solicitud
Certificado preparado! Lo instalo
He comprobado que esta web es confiable
El Certificado está instalado!
REANUDAMOS LA CONFIGURACION DEL SECURE GATEWAY Secure Gateway Configuration Wizard
Solo vamos a proteger Presentation Server
Tipo de Configuración Estándar
Seleccionamos el certificado del servidor
Monitor all IP addresses
No outbound traffic restrictions
En PS4 los STA son los servidores Citrix (podría ser cualquier máquina con tal de copiar en ella el directorio /Scripts)
Lista de STAs definidos
No queremos acceso directo al Web Interface Todos los accesos los va a controlar el Secure Gateway
Nivel de verbosidad del log de eventos
Configuración terminada! Start the Secure Gateway
Aún no se envían los ficheros ICA correctamente Si conectamos con el Secure Gateway, la conexión es segura (https), pero los archivos ICA que nos envía contienen direcciones IP de la red interna.
Configuración del Web Interface Manage Secure Access Clients Tenemos que actuar sobre: "Edit DMZ settings" y "Edit Secure Gateway settings"
Edit DMZ settings Opción por defecto: directo al web interface
Edit DMZ settings Cambiamos a "Secure Gateway Direct"
DMZ Settings ok!
Secure Gateway Settings Configuro los dos interlocutores del SG: el STA y los datos .ICA que enviaré al usuario
Probemos ahora! Aceptamos el certificado (no conoce CACurso como emisora de certificados)
Detalles del certificado
Damos nuestras credenciales al Web Interface
Ahora el fichero ICA está correcto! Contiene el ticket emitido por el STA y los datos para la conexión SSL
El cliente ICA no acepta certificados emitidos por fuentes no seguras!
Hay que instalar en el cliente el certificado de la CA Lo publicamos en algun lugar accesible desde Internet para que el usuario se lo instale
Antes de la primera conexión hay que instalar en el cliente el certificado de la CA
Aviso de seguridad Vamos a importar un certificado confiable, lo abrimos
EL certificado es correcto, lo instalamos
Asistente para importación de certificados
Seleccionar automáticamente el almacén
Última oportunidad para rectificar
Comprobar la huella digital del certificado! Es correcta, lo instalamos
Certificado de la CA importado!
Comprobamos que el certificado está en el almacén
Ahora ya puedo acceder a mis aplicaciones!
Links CTX19376 Best Practices for Securing a Citrix Secure Gateway Deployment

Más contenido relacionado

PDF
Citrix Web Interface
Joaquin Herrero
 
PDF
Análisis de clientes ICA
Joaquin Herrero
 
PDF
Anatomía del Inicio de Sesión en Windows
Joaquin Herrero
 
PDF
Guia Del Usuario BeAnywhere Support Express
BeAnywhere
 
PDF
2016 04 --curso_novedades_auto_firma
Tomás García-Merás
 
PPTX
Auditing SharePoint 2010
Eventos Creativos
 
PPT
Seguridad Windows Server 2008
Conferencias FIST
 
DOCX
Examen intermedio ad
Xavier Moreno Moreno
 
Citrix Web Interface
Joaquin Herrero
 
Análisis de clientes ICA
Joaquin Herrero
 
Anatomía del Inicio de Sesión en Windows
Joaquin Herrero
 
Guia Del Usuario BeAnywhere Support Express
BeAnywhere
 
2016 04 --curso_novedades_auto_firma
Tomás García-Merás
 
Auditing SharePoint 2010
Eventos Creativos
 
Seguridad Windows Server 2008
Conferencias FIST
 
Examen intermedio ad
Xavier Moreno Moreno
 

La actualidad más candente (7)

PPTX
2015 10 - Curso Cliente @firma INAP día 2
Tomás García-Merás
 
PPTX
Manual profit plus
norberthcv
 
DOCX
Características de windows server 2008
DC03
 
PPTX
Clase 05
Titiushko Jazz
 
PPTX
Manual profit plus
norberthcv
 
PDF
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Lorenzo Jose Mota Garcia
 
PDF
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
Herman Arnedo
 
2015 10 - Curso Cliente @firma INAP día 2
Tomás García-Merás
 
Manual profit plus
norberthcv
 
Características de windows server 2008
DC03
 
Clase 05
Titiushko Jazz
 
Manual profit plus
norberthcv
 
Provisionamiento de un RAC de 2 nodos en la nube de Oracle.
Lorenzo Jose Mota Garcia
 
SEMANA IT 2013 - Distribucion de aplicaciones con System Center Configuration...
Herman Arnedo
 
Publicidad

Similar a Citrix Secure Gateway (20)

PPTX
Forefront threat management gateway(TMG 2010)
Larry Ruiz Barcayola
 
PDF
Modulo V: Acceso remoto y redes privadas virtuales
Juan Manuel García
 
PPTX
Microsoft forefront threat management gateway_TMG
Christian_1924
 
PPTX
diapositiva
Fabio Chavez
 
PPTX
Actividad de Aprendizaje 5
jsebastianch
 
PPTX
Forefront Threat Management Gateway TMG
Chema Alonso
 
PDF
Genial 112 pags uso de nmap en linux consola manual oficial gobierno-2079201...
xavazquez
 
PPT
4. vpn y ipsec
1 2d
 
PPTX
[SOS 2009] Microsoft Technet: TMG Preview Técnico
Chema Alonso
 
PPTX
Instalacion de servicios windows, configuracion y aplicacion.
CZSOTEC
 
PPS
Ud7 Redes seguras
carmenrico14
 
PDF
04MCYB_03.Protección servicio pasiva-v2.pdf
sebas145713
 
PPTX
U.3 .- Seguridad en redes de comunicación.
Luis Francisco Amores Tapia
 
PPTX
Tmg
Omar Moreno Ferro
 
DOCX
Manual de instalación de Exchangey tmg 2010
Hugo Rios
 
DOCX
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
DOCX
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
PPT
Vpn SSL en Microsoft
Chema Alonso
 
PPT
Seguridad4
Oscar Mauricio
 
PPT
Seguridad
Naydu Lopez
 
Forefront threat management gateway(TMG 2010)
Larry Ruiz Barcayola
 
Modulo V: Acceso remoto y redes privadas virtuales
Juan Manuel García
 
Microsoft forefront threat management gateway_TMG
Christian_1924
 
diapositiva
Fabio Chavez
 
Actividad de Aprendizaje 5
jsebastianch
 
Forefront Threat Management Gateway TMG
Chema Alonso
 
Genial 112 pags uso de nmap en linux consola manual oficial gobierno-2079201...
xavazquez
 
4. vpn y ipsec
1 2d
 
[SOS 2009] Microsoft Technet: TMG Preview Técnico
Chema Alonso
 
Instalacion de servicios windows, configuracion y aplicacion.
CZSOTEC
 
Ud7 Redes seguras
carmenrico14
 
04MCYB_03.Protección servicio pasiva-v2.pdf
sebas145713
 
U.3 .- Seguridad en redes de comunicación.
Luis Francisco Amores Tapia
 
Tmg
Omar Moreno Ferro
 
Manual de instalación de Exchangey tmg 2010
Hugo Rios
 
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
Vpn SSL en Microsoft
Chema Alonso
 
Seguridad4
Oscar Mauricio
 
Seguridad
Naydu Lopez
 
Publicidad

Más de Joaquin Herrero (16)

PDF
Historia de la evolucion tecnologia de los servicios de terminal
Joaquin Herrero
 
PDF
Introducción a las redes sociales y la Web 2.0
Joaquin Herrero
 
PDF
Breve historia y conceptos del Kernel
Joaquin Herrero
 
PDF
Kernel Internals: la memoria y cómo usar un kernel debugger
Joaquin Herrero
 
PDF
Unidades de medida empleadas en informática
Joaquin Herrero
 
PDF
Utilidades y bibliografía para administradores de sistemas
Joaquin Herrero
 
PDF
¿Qué son las vulnerabilidades del software?
Joaquin Herrero
 
PDF
Presentación Bumpho #congresoweb 2010
Joaquin Herrero
 
PDF
Scripting en entornos Windows - Conceptos básicos
Joaquin Herrero
 
PDF
Presentation Server Software Development Kit
Joaquin Herrero
 
PDF
Debugging Tools for Windows
Joaquin Herrero
 
PDF
Seguridad y Control de Acceso en una instalación Citrix
Joaquin Herrero
 
PDF
Optimizando la impresión de documentos en entornos SBC
Joaquin Herrero
 
PDF
Server Based Computing: Historia, Conceptos y Arquitectura
Joaquin Herrero
 
PDF
Trabajo en grupo con herramientas Web 2.0
Joaquin Herrero
 
PDF
Introducción a los servicios de terminal de windows
Joaquin Herrero
 
Historia de la evolucion tecnologia de los servicios de terminal
Joaquin Herrero
 
Introducción a las redes sociales y la Web 2.0
Joaquin Herrero
 
Breve historia y conceptos del Kernel
Joaquin Herrero
 
Kernel Internals: la memoria y cómo usar un kernel debugger
Joaquin Herrero
 
Unidades de medida empleadas en informática
Joaquin Herrero
 
Utilidades y bibliografía para administradores de sistemas
Joaquin Herrero
 
¿Qué son las vulnerabilidades del software?
Joaquin Herrero
 
Presentación Bumpho #congresoweb 2010
Joaquin Herrero
 
Scripting en entornos Windows - Conceptos básicos
Joaquin Herrero
 
Presentation Server Software Development Kit
Joaquin Herrero
 
Debugging Tools for Windows
Joaquin Herrero
 
Seguridad y Control de Acceso en una instalación Citrix
Joaquin Herrero
 
Optimizando la impresión de documentos en entornos SBC
Joaquin Herrero
 
Server Based Computing: Historia, Conceptos y Arquitectura
Joaquin Herrero
 
Trabajo en grupo con herramientas Web 2.0
Joaquin Herrero
 
Introducción a los servicios de terminal de windows
Joaquin Herrero
 

Último (20)

PDF
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
PDF
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
PDF
Liceo departamental MICRO BIT (1) 2.pdfbbbnn
edepanaobando
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PPTX
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
PDF
taller de informática - LEY DE OHM
salome Satizabal
 
PPT
Que son las redes de computadores y sus partes
AldamirJoseAvilaBena
 
PPT
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
PDF
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
PDF
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
PPTX
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
PPTX
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
PDF
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
PPTX
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
PDF
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
PDF
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
PDF
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
Liceo departamental MICRO BIT (1) 2.pdfbbbnn
edepanaobando
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
taller de informática - LEY DE OHM
salome Satizabal
 
Que son las redes de computadores y sus partes
AldamirJoseAvilaBena
 
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 

Citrix Secure Gateway

  • 1. TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Secure Gateway 3.0 INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA Plan interadministrativo de formación contínua en el área de tecnologías Joaquín Herrero Pintado de la información y las comunicaciones jherrero@mma.es
  • 2. Contenido Interlocutores del Secure Gateway Características Fases de una conexión segura a una granja Presentation Server 4 Preguntas frecuentes sobre el STA (Secure Ticket Authority) Instalación de Secure Gateway 3.0 Configuración de una autoridad de certificación Emisión del certificado de identidad del servidor Secure Gateway Configuration Wizard Configuración del Web Interface DMZ settings Secure Gateway settings Estrategia para desplegar el certificado de la CA
  • 3. Secure Gateway 3.0 Es el perímetro de seguridad para proteger accesos a Presentation Server. Encripta y autentica las conexiones Se instala en la DMZ El Secure Gateway se constituye en el PUNTO UNICO DE ACCESO Puede ser redundante Componentes con los que habla el SG: 1. el Web Interface 2. el Secure Ticket Authority (STA) 3. el Citrix XML Service 4. el cliente ICA (Web client o PNAgent)
  • 4. Componentes con los que habla el Secure Gateway 1. WEB INTERFACE -WI- Proporciona el interface de logon Proporciona los servicios de autenticación y autorización 2. SECURE TICKET AUTHORITY -STA- Proporciona un TICKET en respuesta a una petición de conexión a una aplicación publicada en entorno Metaframe. Estos tickets son la base del sistema de autenticaci ón y autorización. Se instala automáticamente al instalar PS4, no es necesario un servidor aparte (como sucedía antes) 3. CITRIX XML SERVICE El XML Service es el punto de contacto inicial con una granja de servidores. Informa de la disponibilidad y localización de las aplicaciones publicadas.
  • 5. Secure Gateway 3.0 en DMZ "single hop" (un salto)
  • 6. Caracteríticas del Secure Gateway /1 Soporta FTP, HTTP y TELNET Deployment más sencillo, ya que ahora el STA está incluido en Presentation Server y es instalado automáticamente Ya no es necesario IIS para el STA Manejo avanzado de certificados El wizard no permite seleccionar un certificado que no tenga clave privada El wizard verifica que el certificado esté instalado en el almacén de certificados Los log que usa el SG están en el formato standard de Apache Incluye performance counters para analizar el nivel de uso y carga
  • 7. Caracteríticas del Secure Gateway /2 Basado en el código de Apache 2.x Usa SSL y PKI (estándares) Soporte de Session Reliability "When a session connection is interrupted, all open windows to published resources will remain visible while reconnection is automatically attempted in the background." Conexiones seguras sin necesidad de VPN’s Soporta DMZ single-hop o double-hop Consola compatible con MMC (es un snap-in) Mínima configuración en equipos cliente
  • 8. Fases de una conexión segura con PS4 /1 1. El usuario abre un navegador y teclea https://www.secure-gateway.com 2. El SG pasa la petición al Web Interface 3. El WI responde al usuario mandándole una página de logon 4. El usuario introduce sus credenciales, que vuelven al WI a través del SG 5. El WI manda las credenciales al XML Service de la granja y obtiene la lista de aplicaciones que el usuario puede ejecutar 6. El WI compone la página web y la manda al usuario en forma de links a ficheros .ICA
  • 9. Fases de una conexión segura con PS4 /2 7. Cuando el usuario hace click en una de las aplicaciones, el Web Interface procede a construir el fichero ICA que va a ser enviado al usuario para que lo ejecute el web client. La dirección IP y puerta del servidor Metaframe que habrá que incluir en el fichero ICA son enviados al STA, el cual guarda estos datos y emite un ticket. [Técnica del guardarropa: la IP privada no puede salir de la LAN, solo sale el ticket] 8. El WI genera un fichero ICA que contiene el ticket emitido por el STA y lo envía al navegador del cliente. La única dirección que contiene el fichero ICA es el FQDN del Secure Gateway. La dirección IP del servidor Metaframe no aparece en este tipo de ficheros ICA.
  • 10. Transformación del fichero ICA con datos del STA
  • 11. Fases de una conexión segura PS4 /3 9. El browser ejecuta el cliente de Metaframe Presentation Server, el cual conecta al SG usando la dirección que aparece en el fichero ICA. Se hace un handshaking SSL para establecer la identidad del Secure Gateway. 10. EL cliente envía al SG el ticket que figuraba en el fichero ICA, el cual contacta con el STA para establecer su validez. Si el ticket es válido y no ha expirado, el STA pasa al SG la dirección IP y la puerta del servidor Metaframe al que el usuario debe de conectarse. 11. El SG establece una conexión ICA con el dispositivo cliente dentro del tunel SSL que les comunica, y encamina ese tráfico al servidor Metaframe.
  • 12. Secure Gateway STA Frequently Asked Questions CTX101997
  • 13. INSTALACIÓN DE SECURE GATEWAY 3.0
  • 15. Salimos de todos los programas
  • 18. Directorio de la aplicación
  • 19. Local User Account para el servicio SG
  • 23. PREPARAMOS LA AUTORIDAD DE CERTIFICACION Para configurar el Secure Gateway vamos a necesitar tener emitido un certificado para identificar al servidor
  • 24. Instalamos los "Certificate Services" Componente de Windows
  • 26. Nombre de la Certification Authority
  • 27. Base de Datos de Certificados
  • 29. Tenemos en C:i386 el CD de Instalación
  • 30. Ya somos Autoridad de Certificación Podemos emitir el certificado para identificar al servidor
  • 31. SOLICITAMOS EL CERTIFICADO A LA AUTORIDAD
  • 32. Interfaz web de solicitud de certificados http://server/certsrv
  • 34. Create and submit a requesto to this CA
  • 35. EL nombre debe coincidir con la URL que usaremos Tipo de Certificado: Server Authentication Certificate
  • 36. Wildcard Certificate Support Citrix: "Secure Gateway 3.0 can be configured to use a wildcard certificate, for example, a certificate issued to *.company.com. Wildcard certificates are supported by ICA clients version 7.0 and later." Brian Madden: "Have you ever wanted to use wildcards certificates for your Secure Gateway? If so, this feature is now supported with CSG 3.0. For example, if you host www.domain.com, an SSL Wildcard Certificate for *.domain.com would allow you to secure unlimited first-level subdomains."
  • 38. Solo hay que pedir certificados a fuentes confiables
  • 39. Solicitud en curso Vuelva usted mañana
  • 40. Vamos a autorizar la emisión del certificado
  • 43. Voy a ver cómo va lo mio... View the status of a pending certificate request
  • 46. He comprobado que esta web es confiable
  • 47. El Certificado está instalado!
  • 48. REANUDAMOS LA CONFIGURACION DEL SECURE GATEWAY Secure Gateway Configuration Wizard
  • 49. Solo vamos a proteger Presentation Server
  • 52. Monitor all IP addresses
  • 53. No outbound traffic restrictions
  • 54. En PS4 los STA son los servidores Citrix (podría ser cualquier máquina con tal de copiar en ella el directorio /Scripts)
  • 55. Lista de STAs definidos
  • 56. No queremos acceso directo al Web Interface Todos los accesos los va a controlar el Secure Gateway
  • 57. Nivel de verbosidad del log de eventos
  • 59. Aún no se envían los ficheros ICA correctamente Si conectamos con el Secure Gateway, la conexión es segura (https), pero los archivos ICA que nos envía contienen direcciones IP de la red interna.
  • 60. Configuración del Web Interface Manage Secure Access Clients Tenemos que actuar sobre: "Edit DMZ settings" y "Edit Secure Gateway settings"
  • 61. Edit DMZ settings Opción por defecto: directo al web interface
  • 62. Edit DMZ settings Cambiamos a "Secure Gateway Direct"
  • 64. Secure Gateway Settings Configuro los dos interlocutores del SG: el STA y los datos .ICA que enviaré al usuario
  • 65. Probemos ahora! Aceptamos el certificado (no conoce CACurso como emisora de certificados)
  • 67. Damos nuestras credenciales al Web Interface
  • 68. Ahora el fichero ICA está correcto! Contiene el ticket emitido por el STA y los datos para la conexión SSL
  • 69. El cliente ICA no acepta certificados emitidos por fuentes no seguras!
  • 70. Hay que instalar en el cliente el certificado de la CA Lo publicamos en algun lugar accesible desde Internet para que el usuario se lo instale
  • 71. Antes de la primera conexión hay que instalar en el cliente el certificado de la CA
  • 72. Aviso de seguridad Vamos a importar un certificado confiable, lo abrimos
  • 73. EL certificado es correcto, lo instalamos
  • 74. Asistente para importación de certificados
  • 77. Comprobar la huella digital del certificado! Es correcta, lo instalamos
  • 78. Certificado de la CA importado!
  • 79. Comprobamos que el certificado está en el almacén
  • 80. Ahora ya puedo acceder a mis aplicaciones!
  • 81. Links CTX19376 Best Practices for Securing a Citrix Secure Gateway Deployment