Habilitar la recopilación de datos para dispositivos Citrix ADC Gateway implementados en modo de salto doble

El modo de doble salto de Citrix ADC Gateway proporciona protección adicional a la red interna de una organización porque un atacante necesitaría penetrar varias zonas de seguridad o zonas desmilitarizadas (DMZ) para llegar a los servidores de la red segura. Si quiere analizar el número de saltos (dispositivos Citrix ADC Gateway) a través de los cuales pasan las conexiones ICA, así como los detalles sobre la latencia en cada conexión TCP y cómo se compara con la latencia total de ICA percibida por el cliente, debe instalar Citrix Application Delivery Management (ADM) para que los dispositivos Citrix ADC Gateway informen de estas estadísticas vitales.

Figura 3. Citrix ADM implementado en modo de salto doble

Imagen localizada

Citrix ADC Gateway en la primera DMZ maneja las conexiones de usuario y realiza las funciones de seguridad de una VPN SSL. Esta puerta de enlace de Citrix ADC cifra las conexiones de los usuarios, determina cómo se autentican los usuarios y controla el acceso a los servidores de la red interna.

Citrix ADC Gateway en la segunda DMZ sirve como dispositivo proxy Citrix ADC Gateway. Esta puerta de enlace de Citrix ADC permite que el tráfico ICA atraviese la segunda DMZ para completar las conexiones de usuario a la granja de servidores.

Citrix ADM se puede implementar en la subred que pertenece al dispositivo Citrix ADC Gateway en la primera DMZ o en la subred que pertenece al dispositivo Citrix ADC Gateway segunda DMZ. En la imagen anterior, Citrix ADM y Citrix ADC Gateway en la primera DMZ se implementan en la misma subred.

En modo de salto doble, Citrix ADM recopila los registros TCP de un dispositivo y los registros ICA del otro dispositivo. Después de agregar los dispositivos Citrix ADC Gateway al inventario de Citrix ADM y habilitar la recopilación de datos, cada uno de los dispositivos exporta los informes haciendo un seguimiento del número de saltos y del ID de la cadena de conexión.

Para que Citrix ADM identifique qué dispositivo está exportando registros, cada dispositivo se especifica con un recuento de saltos y cada conexión se especifica con un ID de cadena de conexiones. El recuento de saltos representa el número de dispositivos Citrix ADC Gateway a través de los cuales fluye el tráfico de un cliente a los servidores. El ID de cadena de conexión representa las conexiones de extremo a extremo entre el cliente y el servidor.

Citrix ADM utiliza el recuento de saltos y el ID de la cadena de conexión para relacionar los datos de los dispositivos Citrix ADC Gateway y generar los informes.

Para supervisar los dispositivos Citrix ADC Gateway implementados en este modo, primero debe agregar Citrix ADC Gateway al inventario de Citrix ADM, habilitar AppFlow en Citrix ADM y, a continuación, ver los informes en el panel de Citrix ADM.

Habilitar la recopilación de datos en Citrix ADM

Si habilita Citrix ADM para comenzar a recopilar los detalles de ICA de ambos dispositivos, los detalles recopilados serán redundantes. Es decir, tanto los dispositivos informan de las mismas métricas. Para superar esta situación, debe habilitar AppFlow para ICA en uno de los primeros dispositivos Citrix ADC Gateway y, a continuación, habilitar AppFlow para TCP en el segundo dispositivo. Al hacerlo, uno de los dispositivos exporta registros ICA AppFlow y el otro dispositivo exporta registros TCP AppFlow. Esto también ahorra el tiempo de procesamiento al analizar el tráfico ICA.

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador Web, escriba la dirección IP de Citrix Application Delivery Management (ADM) (por ejemplo,http://192.168.100.1).

  2. En Nombre de usuario y contraseña, introduzca las credenciales de administrador.

  3. Vaya a Infraestructura > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En el menú desplegable Acción, seleccione Activar/Desactivar información.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar AppFlow.

  6. En el campo Habilitar AppFlow, escriba true y seleccione ICA/TCP para tráfico ICA y tráfico TCP respectivamente.

    Nota

    Si el registro de AppFlow no está habilitado para los servicios o grupos de servicios respectivos en el dispositivo Citrix ADC, el panel de control de Citrix ADM no muestra los registros, incluso si la columna Insight muestra Habilitado.

  7. Haga clic en Aceptar.

    Imagen localizada

Configuración de dispositivos Citrix ADC Gateway para exportar datos

Después de instalar los dispositivos Citrix ADC Gateway, debe configurar las siguientes opciones en los dispositivos Citrix ADC Gateway para exportar los informes a Citrix ADM:

  • Configure los servidores virtuales de los dispositivos Citrix ADC Gateway en la primera y segunda DMZ para que se comuniquen entre sí.
  • Enlazar el servidor virtual de Citrix ADC Gateway en la segunda DMZ al servidor virtual de Citrix ADC Gateway en la primera DMZ.
  • Habilite el salto doble en Citrix ADC Gateway en la segunda DMZ.
  • Inhabilite la autenticación en el servidor virtual de Citrix ADC Gateway en la segunda DMZ.
  • Habilite uno de los dispositivos Citrix ADC Gateway para exportar registros ICA
  • Habilite el otro dispositivo Citrix ADC Gateway para exportar registros TCP:
  • Habilite el encadenamiento de conexiones en ambos dispositivos Citrix ADC Gateway.

Configuración de Citrix ADC Gateway mediante la interfaz de línea de comandos:

  1. Configure el servidor virtual de Citrix ADC Gateway en la primera DMZ para comunicarse con el servidor virtual de Citrix ADC Gateway en la segunda DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-IMGGifToNG]…

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. Enlazar el servidor virtual de Citrix ADC Gateway en la segunda DMZ al servidor virtual de Citrix ADC Gateway en la primera DMZ. Ejecute el siguiente comando en Citrix ADC Gateway en la primera DMZ:

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    
  3. Habilite el salto doble y AppFlow en Citrix ADC Gateway en la segunda DMZ.

    set vpn vserver <name> [- doubleHop ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. Inhabilite la autenticación en el servidor virtual de Citrix ADC Gateway en la segunda DMZ.

    set vpn vserver **<name> [-authentication** (ON|OFF)]

    set vpn vserver vs -authentication OFF
    
  5. Habilite uno de los dispositivos Citrix ADC Gateway para exportar registros TCP.

    bind vpn vserver **<name> [-policy <string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. Habilite el otro dispositivo Citrix ADC Gateway para exportar registros ICA:

    bind vpn vserver **<name> [-policy <string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. Habilite el encadenamiento de conexiones en los dispositivos Citrix ADC Gateway:

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    

Configuración de Citrix ADC Gateway mediante la utilidad de configuración:

  1. Configure Citrix ADC Gateway en la primera DMZ para comunicarse con la puerta de enlace Citrix ADC en la segunda DMZ y enlazar la puerta de enlace Citrix ADC en la segunda DMZ a la puerta de enlace Citrix ADC en la primera DMZ.
    1. En la ficha Configuración, expanda Citrix ADC Gateway y haga clic en Servidores virtuales.
    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Aplicaciones publicadas.
    3. Haga clic en Servidor de salto siguiente y vincule un servidor de salto siguiente al segundo dispositivo Citrix ADC Gateway.
  2. Habilite el salto doble en Citrix ADC Gateway en la segunda DMZ.
    1. En la ficha Configuración, expanda Citrix ADC Gateway y haga clic en Servidores virtuales.
    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.
    3. Expanda Más, seleccione Doble salto y haga clic en Aceptar.
  3. Inhabilite la autenticación en el servidor virtual en Citrix ADC Gateway en la segunda DMZ.
    1. En la ficha Configuración, expanda Citrix ADC Gateway y haga clic en Servidores virtuales.
    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.
    3. Expanda Másy desmarque Habilitar autenticación.
  4. Habilite uno de los dispositivos Citrix ADC Gateway para exportar registros TCP.
    1. En la ficha Configuración, expanda Citrix ADC Gateway y haga clic en Servidores virtuales.
    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Directivas.
    3. Haga clic en el icono + y, en la lista desplegable Elegir directiva, seleccione AppFlow y en la lista desplegable Elegir tipo, seleccione Otra solicitud TCP.
    4. Haga clic en Continuar.
    5. Agregue un enlace de directivas y haga clic en Cerrar.
  5. Habilite el otro dispositivo Citrix ADC Gateway para exportar registros ICA:
    1. En la ficha Configuración, expanda Citrix ADC Gateway y haga clic en Servidores virtuales.
    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Directivas.
    3. Haga clic en el icono + y, en la lista desplegable Elegir directiva, seleccione AppFlow y en la lista desplegable Elegir tipo, seleccione Otra solicitud TCP.
    4. Haga clic en Continuar.
    5. Agregue un enlace de directivas y haga clic en Cerrar.
  6. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix ADC Gateway.
    1. En la ficha Configuración, vaya a Sistema > Appflow.
    2. En el panel derecho, en el grupo Configuración, haga clic en Cambiar configuración de flujo de aplicaciones.
    3. Seleccione Conexión encadenamiento y haga clic en Aceptar.

Habilitar la recopilación de datos para dispositivos Citrix ADC Gateway implementados en modo de salto doble