Control de acceso a red

Si tiene un dispositivo de control de acceso a red (Network Access Control, NAC) configurado en la red, como Cisco ISE, puede habilitar filtros en Endpoint Management para configurar dispositivos como conformes o no conformes a NAC, en función de reglas o propiedades. Si un dispositivo administrado en Endpoint Management no cumple los criterios especificados, Endpoint Management lo marca como “No conforme”. Un dispositivo NAC bloquea dispositivos no conformes que haya presentes en su red.

Para dispositivos iOS, puede implementar la directiva VPN y habilitar un filtro NAC para bloquear una conexión VPN cuando se trata de dispositivos que tienen instaladas aplicaciones no conformes. Para obtener más información, consulte Configuración de NAC para iOS más adelante en este artículo.

En la consola de Endpoint Management, seleccione los criterios de la lista para establecer un dispositivo como no conforme.

Endpoint Management da respaldo a los siguientes filtros de conformidad para NAC:

Dispositivos anónimos: Comprueba si un dispositivo está en modo anónimo. Esta comprobación está disponible si Endpoint Management no puede volver a autenticar al usuario cuando un dispositivo intenta reconectar.

Atestación de Samsung KNOX fallida: Comprueba si un dispositivo falló una consulta del servidor de atestación de Samsung KNOX.

Aplicaciones prohibidas: Comprueba si un dispositivo tiene aplicaciones prohibidas, según se definen en la directiva Acceso a aplicaciones. Para obtener más información acerca de la directiva Acceso a aplicaciones, consulte Directivas de acceso a aplicaciones.

Dispositivos inactivos: Comprueba si un dispositivo está inactivo según se define en el parámetro “Umbral de días de inactividad” en “Propiedades de servidor”. Para obtener más información, consulte Propiedades del servidor.

Aplicaciones obligatorias que faltan: Comprueba si en un dispositivo faltan aplicaciones obligatorias, según se definen en la directiva Acceso a aplicaciones.

Aplicaciones no sugeridas: Comprueba si un dispositivo tiene aplicaciones no sugeridas, según se definen en la directiva Acceso a aplicaciones.

Contraseña no conforme: Comprueba si la contraseña del usuario cumple los requisitos de conformidad. En dispositivos iOS y Android, Endpoint Management puede determinar si la contraseña actual del dispositivo cumple los requisitos de conformidad con la directiva Código de acceso enviada al dispositivo. Por ejemplo, en iOS, el usuario tiene 60 minutos para definir una contraseña si Endpoint Management envía una directiva Código de acceso al dispositivo. Antes de que el usuario defina la contraseña, el código de acceso podría no cumplir los requisitos de conformidad.

Dispositivos no conformes: Comprueba si un dispositivo ya no es conforme, según lo definido en la propiedad de dispositivo No conforme. Por regla general, las acciones automatizadas o el uso que un tercero hace de las API de Endpoint Management modifican esa propiedad.

Estado revocado: Comprueba si el certificado del dispositivo fue revocado. Un dispositivo revocado no se puede volver a inscribir hasta que se autorice de nuevo.

Dispositivos Android o iOS liberados por root/jailbreak: Comprueba si un dispositivo iOS está liberado por jailbreak o un dispositivo Android está liberado por rooting.

Dispositivos no administrados: Comprueba si un dispositivo aún está en estado administrado, bajo el control de Endpoint Management. Por ejemplo, un dispositivo que se ejecute en modo MAM o que se haya desinscrito no es un dispositivo administrado.

Nota:

El filtro “Conformidad/No conformidad implícita” establece el valor predeterminado solo en los dispositivos que administra Endpoint Management. Por ejemplo, el dispositivo NAC marca como no conformes los dispositivos que tienen instalada una aplicación prohibida o que no están inscritos. La red que usted tenga bloquea esos dispositivos.

Configurar NAC para iOS

A través de las configuraciones de directivas en Citrix Gateway, Endpoint Management admite el Control de acceso a la red (NAC) como una función de seguridad de punto final para dispositivos iOS. Puede habilitar un filtro NAC para bloquear una conexión VPN para dispositivos que tienen instaladas aplicaciones no conformes. Cuando la conexión VPN está bloqueada, el usuario no puede acceder a ninguna aplicación o sitio Web a través de la VPN.

Por ejemplo, en la directiva Acceso a aplicaciones, usted clasifica una aplicación concreta como Prohibida o en la lista negra. Un usuario instala esa aplicación. Cuando ese usuario abre Citrix SSO e intenta conectarse a la VPN, la conexión se bloquea. Aparece el error: Error al procesar la solicitud. Póngase en contacto con el administrador.

La configuración requiere que actualice las directivas de Citrix Gateway para admitir NAC. En la consola de Endpoint Management, habilite los filtros NAC e implemente la directiva VPN. Para que esta característica funcione en los dispositivos, los usuarios deben instalar el cliente VPN de Citrix SSO desde la tienda de Apple.

Los filtros NAC admitidos son:

  • Dispositivos de usuarios anónimos
  • Aplicaciones prohibidas
  • Dispositivos inactivos
  • Faltan aplicaciones necesarias
  • Aplicaciones no sugeridas
  • Contraseña no conforme
  • Dispositivos que no cumplen los requisitos
  • Estado revocado
  • Dispositivos Android o iOS liberados por jailbreak o root
  • Dispositivos no administrados

Requisitos previos

  • Citrix Gateway
  • Citrix SSO 1.0.1 instalado en los dispositivos

Para actualizar las directivas de Citrix Gateway para admitir NAC

Las directivas de autenticación y sesiones de VPN que configure deben ser avanzadas. En su servidor de VPN virtual desde una ventana de consola, haga lo siguiente. Las direcciones IP en los comandos y los ejemplos son ficticias.

Con estos pasos, se actualiza un Citrix Gateway que está integrado en un entorno de Endpoint Management. Si tiene un Citrix Gateway que está configurado para VPN y no forma parte del entorno de Endpoint Management, pero puede comunicarse con Endpoint Management, también puede seguir estos pasos.

  1. Elimine y desenlace todas las directivas clásicas si las utiliza en su servidor de VPN virtual. Para verificar, escriba:

    show vpn vserver <VPN_VServer>

    Elimine todos los resultados que contengan la palabra Classic. Por ejemplo: Nombre de directiva de sesión de VPN: PL_OS_10.10.1.1 Tipo: Classic Prioridad: 0

    Para eliminar la directiva, escriba:

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Cree la directiva de sesión avanzada correspondiente. Para ello, escriba lo siguiente.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Por ejemplo: add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Enlace la directiva a su servidor de VPN virtual. Para ello, escriba lo siguiente.

    bind vpn vserver _XM_Endpoint ManagementGateway -policy vpn_nac -priority 100

  4. Cree un servidor virtual de autenticación. Para ello, escriba lo siguiente.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Por ejemplo: add authentication vserver authvs SSL 0.0.0.0 En el ejemplo, 0.0.0.0 significa que el servidor virtual de autenticación no es público.

  5. Enlace un certificado SSL con el servidor virtual. Para ello, escriba lo siguiente.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate> Por ejemplo: bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Asocie un perfil de autenticación al servidor virtual de autenticación desde el servidor de VPN virtual. Primero, cree el perfil de autenticación. Para ello, escriba lo siguiente.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Por ejemplo:

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Asocie el perfil de autenticación al servidor de VPN virtual. Para ello, escriba lo siguiente.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Por ejemplo:

    set vpn vserver _XM_Endpoint ManagementGateway -authnProfile xm_nac_prof

  8. Compruebe la conexión desde Citrix Gateway a un dispositivo. Para ello, escriba lo siguiente.

    curl -v -k https://<Endpoint Management server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Por ejemplo, esta consulta verifica la conectividad obteniendo el estado de cumplimiento del primer dispositivo (deviceid_1) inscrito en el entorno:

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Debería ver un comando similar al del siguiente ejemplo.

    HTTP/1.1 200 OK
    < Server: Apache-Coyote/1.1
    < X-Citrix-Device-State: Non Compliant
    < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. Si el paso anterior da el resultado correcto, cree la acción de autenticación Web en Endpoint Management. Primero, cree una expresión de directiva para extraer el ID del dispositivo desde el complemento VPN de iOS. Escriba lo siguiente.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envíe la solicitud a Endpoint Management. Para ello, escriba lo siguiente. En este ejemplo, la IP de Endpoint Management es 10.207.87.82.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.207.87.82:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    El resultado correcto para Endpoint Management NAC es “HTTP status 200 OK”. El encabezado ‘X-Citrix-Device-State’ debe tener el valor de conforme.

  11. Cree una directiva Autenticación con la que asociar la acción. Para ello, escriba lo siguiente.

    add authentication Policy <policy name> -rule <rule> -action <web auth action> Por ejemplo: add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Convierta la directiva LDAP existente en una directiva avanzada. Para ello, escriba lo siguiente.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name> Por ejemplo: add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Agregue una etiqueta de directiva con la que asociar la directiva LDAP. Para ello, escriba lo siguiente.

    add authentication policylabel <policy_label_name> Por ejemplo: add authentication policylabel ldap_pol_label

  14. Asocie la directiva LDAP a la etiqueta de directiva. Para ello, escriba lo siguiente.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Conecte un dispositivo conforme para hacer una prueba de NAC y confirmar la autenticación LDAP correcta. Escriba lo siguiente.

    bind authentication vserver <authentication vserver> -policy <webauth policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Agregue la interfaz de usuario a asociar con el servidor virtual de autenticación. Escriba el siguiente comando para recuperar la identificación del dispositivo.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Enlace el servidor virtual de autenticación. Para ello, escriba lo siguiente.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Cree una directiva LDAP avanzada de autenticación para permitir la conexión Secure Hub. Escriba lo siguiente.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

  19. Configure la directiva VPN. Para obtener información general sobre cómo configurar la directiva VPN, consulte Directiva VPN.

Configurar el control de acceso a la red

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en Control de acceso de red. Aparecerá la página Control de acceso a red.

    Imagen de los parámetros de Control de acceso de red

  3. Marque las casillas de los filtros Establecer como no conforme que quiera habilitar.

  4. Haga clic en Guardar.

Control de acceso a red