Caso práctico: Hacer que el acceso a Internet empresarial sea compatible y seguro

El director de seguridad de red en una organización financiera quiere proteger la red empresarial de cualquier amenaza externa proveniente de la web en forma de malware. Para ello, el director necesita obtener visibilidad en el tráfico cifrado que de otro modo se omite y controlar el acceso a sitios web maliciosos. El director debe hacer lo siguiente:

  • Intercepte y examine todo el tráfico, incluido SSL/TLS (tráfico cifrado), que entra y sale de la red empresarial.
  • Evite la interceptación de solicitudes a sitios web que contengan información confidencial, como información financiera del usuario o correos electrónicos.
  • Bloquear el acceso a URL dañinas identificadas como que ofrecen contenido dañino o para adultos.
  • Identifique a los usuarios finales (empleados) de la empresa que acceden a sitios web malintencionados y bloquee el acceso a Internet para estos usuarios o bloquee las direcciones URL dañinas.

Para lograr todo lo anterior, el director puede configurar un servidor proxy. El servidor proxy intercepta todo el tráfico cifrado y no cifrado que pasa a través de la red empresarial. Solicita la autenticación del usuario y asocia el tráfico con un usuario. Se pueden especificar categorías de URL para bloquear el acceso a sitios web Ilegal/Nocivo, Adulto y Malware y SPAM.

Para lograr lo anterior, configure las siguientes entidades:

  • Servidor de nombres DNS para resolver nombres de host.
  • Dirección IP de subred (SNIP) para establecer una conexión con los servidores de origen. La dirección SNIP debe tener acceso a Internet.
  • Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
  • Perfil SSL para definir la configuración SSL, como cifrados y parámetros, para las conexiones.
  • par de claves de certificado de CA para firmar el certificado de servidor para la intercepción SSL.
  • Directiva SSL para definir los sitios web a interceptar y omitir.
  • Autenticación del servidor virtual, la directiva y la acción para garantizar que solo los usuarios válidos tengan acceso.
  • Appflow Collector para enviar datos a Citrix Application Delivery Management (ADM).

Se enumeran los procedimientos CLI y GUI para esta configuración de ejemplo. Se utilizan los siguientes valores de ejemplo. Reemplácelos con datos válidos para direcciones IP, certificado SSL y clave, y parámetros LDAP.

Nombre Valores utilizados en la configuración de ejemplo
Dirección NSIP 192.0.2.5
Dirección IP de subred 198.51.100.5
Dirección IP del servidor virtual LDAP 192.0.2.116
Dirección IP del servidor de nombres DNS 203.0.113.2
Dirección IP del servidor proxy 192.0.2.100
Dirección IP MAS 192.0.2.41
Certificado de CA para intercepción SSL ns-swg-ca-certkey (certificado: Ns_swg_ca.crt y clave: Ns_swg_ca.key)
DN base LDAP CN=Usuarios, DC=CTXNSSFB, DC=COM
DN de enlace LDAP CN=Administrador, CN=Usuarios, DC=CTXNSSFB, DC=COM
Contraseña de DN de enlace LDAP Zzzzzz

Uso del asistente proxy de reenvío SSL para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial

Para crear una configuración para interceptar y examinar el tráfico cifrado, además del otro tráfico hacia y desde una red, es necesario configurar la configuración de proxy, la configuración de SSLi, la configuración de autenticación de usuario y la configuración de filtrado de URL. Los siguientes procedimientos incluyen ejemplos de los valores introducidos.

Configurar la configuración del proxy

  1. Vaya a Seguridad > Proxy de reenvío SSL> Asistente de proxy de reenvío SSL.

  2. Haga clic en Comenzar y, a continuación, haga clic en Continuar.

  3. En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.

  4. En Modo de captura, seleccione Explícito.

  5. Introduzca una dirección IP y un número de puerto.

    Imagen localizada

  6. Haga clic en Continuar.

Configurar la configuración de intercepción SSL

  1. Seleccione Activar intercepción SSL.

    Imagen localizada

  2. En Perfil SSL, haga clic en “+” para agregar un nuevo perfil SSL front-end y habilitar la intercepción de sesiones SSLen este perfil.

    Imagen localizada

  3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

  4. En Seleccionar par de claves de certificado de CA de intercepción SSL, haga clic en “+” para instalar un par de claves de certificado de CA para intercepción de SSL.

    Imagen localizada

  5. Haga clic en Instalar y, a continuación, haga clic en Cerrar.

  6. Agregue una directiva para interceptar todo el tráfico. Haga clic en Vincular y, a continuación, haga clic en Agregar.

    Imagen localizada

  7. Escriba un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.

  8. En Acción, seleccione INTERCEPCIÓN.

    Imagen localizada

  9. Haga clic en Crear y, a continuación, haga clic en Agregar para agregar otra directiva para omitir la información confidencial.

  10. Escriba un nombre para la directiva y, en Categorías de URL, haga clic en Agregar.

  11. Seleccione las categorías Finanzas y Correo electrónico y muévalas a la lista Configurada.

  12. En Acción, seleccione PASIVAR.

    Imagen localizada

  13. Haga clic en Crear.

  14. Seleccione las dos directivas creadas anteriormente y haga clic en Insertar.

    Imagen localizada

  15. Haga clic en Continuar.

    Imagen localizada

Configurar la configuración de autenticación de usuario

  1. Seleccione Habilitar autenticación de usuario. En el campo Tipo de autenticación, seleccione LDAP.

    Imagen localizada

  2. Agregue detalles del servidor LDAP.

    Imagen localizada

  3. Haga clic en Crear.

  4. Haga clic en Continuar.

Configurar opciones de filtrado de URL

  1. Seleccione Habilitar categorización de URL y, a continuación, haga clic en Vincular.

    Imagen localizada

  2. Haga clic en Agregar.

    Imagen localizada

  3. Introduzca un nombre para la directiva. En Acción, seleccione Denegar. Para Categorías de URL, seleccione Ilegal o nocivo, Adulto y Malware y SPAM, y muévalos a la lista Configurada.

    Imagen localizada

  4. Haga clic en Crear.

  5. Seleccione la directiva y, a continuación, haga clic en Insertar.

    Imagen localizada

  6. Haga clic en Continuar.

    Imagen localizada

  7. Haga clic en Continuar.

  8. Haga clic en Habilitar análisis.

  9. Introduzca la dirección IP de Citrix ADM y, para Port, especifique 5557.

    Imagen localizada

  10. Haga clic en Continuar.

  11. Haga clic en Done.

    Imagen localizada

Utilice Citrix ADM para ver métricas clave para los usuarios y determinar lo siguiente:

  • Comportamiento de navegación de los usuarios de su empresa.
  • Categorías de URL a las que acceden los usuarios de su empresa.
  • Exploradores utilizados para acceder a las URL o dominios.

Utilice esta información para determinar si el sistema del usuario está infectado por malware o para comprender el patrón de consumo de ancho de banda del usuario. Puede ajustar las directivas de su dispositivo Citrix SWG para restringir estos usuarios o bloquear algunos sitios web más. Para obtener más información sobre cómo ver las métricas en MAS, consulte el caso de uso “Inspecting Endpoints” en Casos de uso de ADM.

Nota

Establezca los siguientes parámetros mediante la CLI.

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED

Ejemplo CLI

El siguiente ejemplo incluye todos los comandos utilizados para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial.

Configuración general:

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED

Configuración de autenticación:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1

Configuración de servidor proxy e intercepción SSL:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

Configuración de categorías de URL:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ

Configuración de AppFlow para extraer datos en Citrix ADM:

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1