ADC

Caso de uso: Hacer que el acceso a Internet empresarial sea compatible y seguro

El director de seguridad de red en una organización financiera quiere proteger la red empresarial de cualquier amenaza externa proveniente de la web en forma de malware. Para ello, el director necesita obtener visibilidad en el tráfico cifrado de otro modo omitido y controlar el acceso a sitios web maliciosos. El director debe hacer lo siguiente:

  • Intercepte y examine todo el tráfico, incluido SSL/TLS (tráfico cifrado), que entra y sale de la red empresarial.
  • Evite la interceptación de solicitudes a sitios web que contengan información confidencial, como información financiera del usuario o correos electrónicos.
  • Bloquear el acceso a URL dañinas identificadas como que ofrecen contenido dañino o para adultos.
  • Identifique a los usuarios finales (empleados) de la empresa que acceden a sitios web malintencionados y bloquee el acceso a Internet para estos usuarios o bloquee las direcciones URL dañinas.

Para lograr todo lo anterior, el director puede configurar un servidor proxy. El servidor proxy intercepta todo el tráfico cifrado y no cifrado que pasa a través de la red empresarial. Solicita la autenticación del usuario y asocia el tráfico con un usuario. Se pueden especificar categorías de URL para bloquear el acceso a sitios web Ilegal/Nocivo, Adulto y Malware y SPAM.

Configure las siguientes entidades:

  • Servidor de nombres DNS para resolver nombres de host.
  • Dirección IP de subred (SNIP) para establecer una conexión con los servidores de origen. La dirección del SNIP debe tener acceso a Internet.
  • Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
  • Perfil SSL para definir la configuración SSL, como cifrados y parámetros, para las conexiones.
  • par de claves de certificado de CA para firmar el certificado de servidor para la intercepción SSL.
  • Directiva SSL para definir los sitios web a interceptar y omitir.
  • Autenticación del servidor virtual, la directiva y la acción para garantizar que solo los usuarios válidos tengan acceso.
  • Recopilador AppFlow para enviar datos a Citrix Application Delivery Management (ADM).

Se enumeran los procedimientos CLI y GUI para esta configuración de ejemplo. Se utilizan los siguientes valores de ejemplo. Reemplácelos con datos válidos para direcciones IP, certificado SSL y clave, y parámetros LDAP.

Nombre Valores utilizados en la configuración de ejemplo
Dirección NSIP 192.0.2.5
Dirección IP de subred 198.51.100.5
Dirección IP del servidor virtual LDAP 192.0.2.116
Dirección IP del servidor de nombres DNS 203.0.113.2
Dirección IP del servidor proxy 192.0.2.100
Dirección IP MAS 192.0.2.41
Certificado de CA para intercepción SSL ns-swg-ca-certkey (certificado: ns_swg_ca.crt y clave: ns_swg_ca.key)
DN base LDAP CN=Usuarios, DC=CTXNSSFB, DC=COM
DN de enlace LDAP CN=Administrador, CN=Usuarios, DC=CTXNSSFB, DC=COM
Contraseña de DN de enlace LDAP Zzzzzz

Uso del asistente de proxy de reenvío SSL para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial

La creación de una configuración para interceptar y examinar el tráfico cifrado además del otro tráfico hacia y desde una red requiere configurar los valores de proxy, intercepción SSL, autenticación de usuario y filtrado de URL. Los siguientes procedimientos incluyen ejemplos de los valores introducidos.

Configurar la configuración del proxy

  1. Vaya a Seguridad > Proxy de reenvío SSL> Asistente de proxy de reenvío SSL.

  2. Haga clic en Comenzar y, a continuación, haga clic en Continuar.

  3. En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.

  4. En Modo de captura, seleccione Explicit.

  5. Introduzca una dirección IP y un número de puerto.

    Proxy explícito

  6. Haga clic en Continuar.

Configurar la configuración de intercepción SSL

  1. Seleccione Activar intercepción SSL.

    Intercepción SSL

  2. En Perfil SSL, haga clic en “+” para agregar un nuevo perfil SSL front-end y habilitar la intercepción de sesiones SSLen este perfil.

    Perfil SSL

  3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

  4. En Seleccionar par de claves de certificado de CA de intercepción SSL, haga clic en “+” para instalar un par de claves de certificado de CA para intercepción de SSL.

    Certificado de intercepción SSL par de claves

  5. Haga clic en Instalar y, a continuación, haga clic en Cerrar.

  6. Agregue una directiva para interceptar todo el tráfico. Haga clic en Vincular y, a continuación, haga clic en Agregar.

    Agregar directiva SSL

  7. Escriba un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.

  8. En Acción, seleccione INTERCEPCIÓN.

    Directiva SSL verdadera

  9. Haga clic en Crear y, a continuación, haga clic en Agregar para agregar otra directiva para omitir la información confidencial.

  10. Escriba un nombre para la directiva y, en Categorías de URL, haga clic en Agregar.

  11. Seleccione las categorías Finanzas y Correo electrónico y muévalas a la lista Configurada.

  12. En Acción, seleccione PASIVAR.

    Omisión de directiva de intercepción SSL

  13. Haga clic en Crear.

  14. Seleccione las dos directivas creadas anteriormente y haga clic en Insertar.

    Directivas SSL

  15. Haga clic en Continuar.

    Directivas SSL

Configurar la configuración de autenticación de usuario

  1. Seleccione Habilitar autenticación de usuario. En el campo Tipo de autenticación, seleccione LDAP.

    Autenticación de usuarios

  2. Agregue detalles del servidor LDAP.

    Detalles del servidor LDAP

  3. Haga clic en Crear.

  4. Haga clic en Continuar.

Configurar opciones de filtrado de URL

  1. Seleccione Habilitar categorización de URL y, a continuación, haga clic en Vincular.

    categorización de URL

  2. Haga clic en Agregar.

    Agregar directiva de categorización de URL

  3. Introduzca un nombre para la directiva. En Acción, seleccione Denegar. Para Categorías de URL, seleccione Ilegal o nocivo, Adulto y Malware y SPAM, y muévalos a la lista Configurada.

    Directiva de categorización de URL

  4. Haga clic en Crear.

  5. Seleccione la directiva y, a continuación, haga clic en Insertar.

    Insertar directiva de categorización de URL

  6. Haga clic en Continuar.

    categorización de URL

  7. Haga clic en Continuar.

  8. Haga clic en Habilitar análisis.

  9. Introduzca la dirección IP de Citrix ADM y, para Port, especifique 5557.

    Habilitar análisis

  10. Haga clic en Continuar.

  11. Haga clic en Done.

    Pantalla final del asistente

Utilice Citrix ADM para ver métricas clave para los usuarios y determinar lo siguiente:

  • El comportamiento de exploración de los usuarios de su empresa.
  • Categorías de URL a las que acceden los usuarios de su empresa.
  • Exploradores utilizados para acceder a las URL o dominios.

Utilice esta información para determinar si el sistema del usuario está infectado por malware o para comprender el patrón de consumo de ancho de banda del usuario. Puede ajustar las directivas del dispositivo Citrix SWG para restringir estos usuarios o bloquear algunos sitios web más. Para obtener más información sobre cómo ver las métricas en MAS, consulte el caso de uso “Inspección de puntos finales” en casos de uso de ADM.

Nota

Establezca los siguientes parámetros mediante la CLI.

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Ejemplo CLI

El siguiente ejemplo incluye todos los comandos utilizados para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial.

Configuración general:

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Configuración de autenticación:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
<!--NeedCopy-->

Configuración de servidor proxy e intercepción SSL:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

Configuración de categorías de URL:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
<!--NeedCopy-->

Configuración de AppFlow para extraer datos en Citrix ADM:

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
<!--NeedCopy-->
Caso de uso: Hacer que el acceso a Internet empresarial sea compatible y seguro