Documentación de productos
Citrix Gateway
Current Release 13.0 12.1
Ver PDF

Cómo se conectan los usuarios con el agente de Citrix Secure Access

June 6, 2022
Contribución de: 
C

Citrix Gateway funciona de la siguiente manera:

  • Cuando los usuarios intentan acceder a los recursos de red a través del túnel VPN, el agente de Citrix Secure Access cifra todo el tráfico de red destinado a la red interna de la organización y reenvía los paquetes a Citrix Gateway.
  • Citrix Gateway finaliza el túnel SSL, acepta cualquier tráfico entrante destinado a la red privada y reenvía el tráfico a la red privada. Citrix Gateway devuelve el tráfico al equipo remoto a través de un túnel seguro.

Cuando los usuarios escriben la dirección web, reciben una página de inicio de sesión en la que introducen sus credenciales e inician sesión. Si las credenciales son correctas, Citrix Gateway finaliza el enlace con el dispositivo del usuario.

Si el usuario se conecta a través de un servidor proxy, puede especificar tanto el servidor proxy como las credenciales de autenticación. Para obtener más información, consulte Habilitación de la compatibilidad con proxy para conexiones de usuario.

El agente de Citrix Secure Access se instala en el dispositivo del usuario. Tras la primera conexión, si los usuarios inician sesión con un equipo basado en Windows, pueden usar el icono del área de notificación para establecer la conexión.

Establezca el túnel seguro

Cuando los usuarios se conectan con el agente Citrix Secure Access, Secure Hub o la aplicación Citrix Workspace, el software cliente establece un túnel seguro a través del puerto 443 (o cualquier puerto configurado en Citrix Gateway) y envía información de autenticación. Cuando se establece el túnel, Citrix Gateway envía información de configuración al agente Citrix Secure Access, Secure Hub o la aplicación Citrix Workspace que describe las redes que se van a proteger y que contienen una dirección IP si se habilitan los grupos de direcciones.

Túnel del tráfico de red privada a través de conexiones seguras

Cuando se inicia el agente de Citrix Secure Access y se autentica al usuario, todo el tráfico de red destinado a redes privadas especificadas se captura y se redirige a través del túnel seguro a Citrix Gateway. La aplicación Citrix Workspace debe admitir que el agente Citrix Secure Access establezca la conexión a través del túnel seguro cuando los usuarios inicien sesión.

Secure Hub, Secure Mail y WorxWeb utilizan Micro VPN para establecer el túnel seguro para dispositivos móviles iOS y Android.

Citrix Gateway intercepta todas las conexiones de red que realiza el dispositivo del usuario y las multiplexa a través de Secure Sockets Layer (SSL) a Citrix Gateway, donde el tráfico se demultiplexa y las conexiones se reenvían a la combinación correcta de host y puerto.

Las conexiones están sujetas a directivas de seguridad administrativas que se aplican a una única aplicación, a un subconjunto de aplicaciones o a toda una intranet. Especifica los recursos (intervalos de pares de direcciones IP/subred) a los que los usuarios remotos pueden acceder a través de la conexión VPN.

El agente de Citrix Secure Access intercepta y tuneliza los siguientes protocolos para las aplicaciones de intranet definidas:

  • TCP (todos los puertos)
  • UDP (todos los puertos)
  • ICMP (tipos 8 y 0 - solicitud/respuesta de eco)

Las conexiones de las aplicaciones locales del dispositivo del usuario se tunelizan de forma segura a Citrix Gateway, que restablece las conexiones con el servidor de destino. Los servidores de destino consideran que las conexiones se originan en el Citrix Gateway local de la red privada, ocultando así el dispositivo del usuario. Esto también se denomina traducción inversa de direcciones de red (NAT). Ocultar direcciones IP agrega seguridad a las ubicaciones de origen.

De forma local, en el dispositivo del usuario, el agente de Citrix Secure Access recrea todo el tráfico relacionado con la conexión, como los paquetes SYN-ACK, PUSH, ACK y FIN, para que aparezca en el servidor privado.

Conéctese a través de firewalls y proxies

Los usuarios del agente de Citrix Secure Access a veces se encuentran dentro del firewall de otra organización, como se muestra en esta ilustración:

Conexión de usuario a través de dos firewalls internos

Los firewalls NAT mantienen una tabla que les permite redirigir paquetes seguros desde Citrix Gateway de vuelta al dispositivo del usuario. Para las conexiones orientadas a circuitos, Citrix Gateway mantiene una tabla de traducción NAT inversa asignada a puertos. La tabla de traducción NAT inversa permite a Citrix Gateway hacer coincidir las conexiones y enviar paquetes de vuelta por el túnel al dispositivo de usuario con los números de puerto correctos para que los paquetes regresen a la aplicación correcta.

Controlar la actualización de los agentes de Citrix Secure Access

Los administradores del sistema controlan el rendimiento del plug-in de Citrix ADC cuando su versión no coincide con la revisión de Citrix Gateway. Las nuevas opciones controlan el comportamiento de actualización de plug-ins para Mac y Windows o sistemas operativos.

En el caso de los plug-ins VPN, la opción de actualización se puede establecer en dos lugares de la interfaz de usuario del dispositivo Citrix ADC:

  • En la configuración global
  • En el nivel de perfil de sesión

Requisitos

  • La versión del complemento VPN y EPA de Windows debe ser superior a 11.0.0.0

  • La versión del complemento EPA para Mac debe ser superior a 3.0.0.31

  • La versión del complemento VPN para Mac debe ser superior a la 3.1.4 (357)

Nota:

Si el dispositivo Citrix ADC se actualiza a la versión 11.0, todos los plug-ins VPN (y EPA) anteriores se actualizan a la última versión, independientemente de la configuración del control de actualizaciones. Para las actualizaciones posteriores, respetan la configuración de control de actualización anterior.

Comportamientos de plug-ins

Para cada tipo de cliente, Citrix Gateway permite las tres opciones siguientes para controlar el comportamiento de actualización de plug-ins:

  • Siempre

El complemento siempre se actualiza cuando la versión del complemento del usuario final no coincide con el complemento suministrado con el dispositivo Citrix ADC. Este es el comportamiento predeterminado. Elija esta opción si no quiere que se ejecuten varias versiones de plug-ins en su empresa.

  • Esencial (y seguridad)

El plug-in solo se actualiza cuando se considera necesario. Los ascensos de clase se consideran necesarios en las dos circunstancias siguientes:

  • El complemento instalado no es compatible con la versión actual del dispositivo Citrix ADC.

  • El complemento instalado debe actualizarse para obtener la solución de seguridad necesaria.

Elija esta opción si quiere minimizar el número de actualizaciones de plug-ins, pero no quiere perderse ninguna actualización de seguridad de plug-ins

  • Nunca

El plug-in no se actualiza.

Parámetros CLI para controlar la actualización de plug-ins VPN

Citrix Gateway admite dos tipos de complementos (EPA y VPN) para sistemas operativos Windows y Mac. Para admitir el control de actualización de plug-ins VPN a nivel de sesión, Citrix Gateway admite dos parámetros de perfil de sesión denominados WindowsInPluginUpgrade y MacPluginUpgrade.

Estos parámetros están disponibles a nivel global, servidor virtual, grupo y usuario. Cada parámetro puede tener el valor Always, Essential o Never. Para obtener una descripción de estos parámetros, consulte Comportamientos de plug-ins.

Parámetros CLI para controlar la actualización de plug-ins de EPA

Citrix Gateway admite complementos EPA para sistemas operativos Windows y Mac. Para admitir el control de actualización de plug-ins de EPA a nivel de servidor virtual, Citrix Gateway admite dos parámetros de servidor virtual denominados windowsEPAPluginUpgrade y macEPAPluginUpgrade.

Los parámetros están disponibles en el nivel del servidor virtual. Cada parámetro puede tener el valor Always, Essential o Never. Para obtener una descripción de estos parámetros, consulte Comportamientos de plug-in

Configuración VPN

Siga estos pasos para la configuración de VPN de los complementos de Windows, Linux y Mac.

  1. Vaya a Citrix ADC > Directivas > Sesión.

  2. Seleccione la directiva de sesión deseada y, a continuación, haga clic en Modificar.

  3. Seleccione la ficha Experiencia del cliente.

    Configuración de ficha Experiencia del cliente

  4. Estas opciones de cuadros de diálogo afectan al comportamiento de actualización.

    • Siempre
    • Esencial
    • Nunca El valor predeterminado es Siempre.

  5. Seleccione la casilla de verificación situada a la derecha de cada opción. Seleccione la frecuencia para aplicar el comportamiento de actualización.

Opción de actualización

Configuración de la EPA

Siga estos pasos para la configuración de la EPA de los complementos de Windows, Linux y Apple.

  1. Vaya a Citrix Gateway > Servidores virtuales.

  2. Seleccione un servidor y haga clic en el botón Modificar.

  3. Haga clic en el icono del lápiz.

    Haga clic en icono de lápiz

  4. Haga clic en Más

    Más ajustes

  5. Los cuadros de diálogo que aparecen afectan al comportamiento de la actualización. Las opciones disponibles son:

    • Siempre
    • Esencial
    • Nunca

    Opción de actualización

Cómo se conectan los usuarios con el agente de Citrix Secure Access
June 6, 2022
Contribución de: 
C
June 6, 2022
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Cloud Software Group, Inc. All rights reserved.