Establecimiento del túnel seguro

Cuando los usuarios se conectan con el plug-in de Citrix Gateway, Secure Hub o Citrix Receiver, el software cliente establece un túnel seguro a través del puerto 443 (o cualquier puerto configurado en Citrix Gateway) y envía información de autenticación. Cuando se establece el túnel, Citrix Gateway envía información de configuración al plug-in de Citrix Gateway, Secure Hub o Receiver, describiendo las redes que se van a proteger y que contiene una dirección IP si habilita grupos de direcciones.

Tunelización del tráfico de red privada a través de conexiones seguras

Cuando se inicia el plug-in de Citrix Gateway y el usuario se autentica, todo el tráfico de red destinado a redes privadas especificadas se captura y se redirige a través del túnel seguro a Citrix Gateway. Receiver debe admitir el plug-in de Citrix Gateway para establecer la conexión a través del túnel seguro cuando los usuarios inician sesión.

Secure Hub, Secure Mail y WorxWeb utilizan Micro VPN para establecer el túnel seguro para dispositivos móviles iOS y Android.

Citrix Gateway intercepta todas las conexiones de red que realiza el dispositivo del usuario y las multiplexa a través de Secure Sockets Layer (SSL) a Citrix Gateway, donde el tráfico se demultiplexa y las conexiones se reenvían a la combinación correcta de host y puerto.

Las conexiones están sujetas a directivas de seguridad administrativa que se aplican a una sola aplicación, a un subconjunto de aplicaciones o a una intranet completa. Especifique los recursos (rangos de direcciones IP/pares de subred) a los que los usuarios remotos pueden acceder a través de la conexión VPN.

El plug-in de Citrix Gateway intercepta y tunea los siguientes protocolos para las aplicaciones de intranet definidas:

  • TCP (todos los puertos)
  • UDP (todos los puertos)
  • ICMP (tipos 8 y 0 - solicitud de echo/respuesta)

Las conexiones desde aplicaciones locales en el dispositivo de usuario se canalizan de forma segura a Citrix Gateway, que restablece las conexiones con el servidor de destino. Los servidores de destino ven las conexiones como originadas desde Citrix Gateway local en la red privada, ocultando así el dispositivo del usuario. Esto también se denomina traducción inversa de direcciones de red (NAT). Ocultar direcciones IP agrega seguridad a las ubicaciones de origen.

Localmente, en el dispositivo del usuario, el plug-in de Citrix Gateway vuelve a crear todo el tráfico relacionado con la conexión, como paquetes SYN-ACK, PUSH, ACK y FIN, para que aparezca desde el servidor privado.