Caso de uso: Hacer que el acceso a Internet empresarial sea compatible y seguro

El director de seguridad de red en una organización financiera quiere proteger la red empresarial de cualquier amenaza externa proveniente de la web en forma de malware. Para ello, el director necesita obtener visibilidad para evitar el tráfico cifrado y controlar el acceso a sitios web malintencionados. El director debe hacer lo siguiente:

  • Intercepte y examine todo el tráfico, incluido SSL/TLS (tráfico cifrado), que entra y sale de la red empresarial.
  • Omitir la interceptación de solicitudes a sitios web que contengan información confidencial, como información financiera del usuario o correos electrónicos.
  • Bloquear el acceso a URL dañinas identificadas como que sirven contenido dañino o para adultos.
  • Identifique a los usuarios finales (empleados) de la empresa que accedan a sitios web malintencionados y bloquee el acceso a Internet de estos usuarios o bloquee las URL dañinas.

Para lograr todo lo anterior, el director puede configurar un proxy en todos los dispositivos de la organización y señalarlo a Citrix Secure Web Gateway (SWG), que actúa como servidor proxy en la red. El servidor proxy intercepta todo el tráfico cifrado y no cifrado que pasa a través de la red empresarial. Solicita la autenticación del usuario y asocia el tráfico con un usuario. Las categorías de URL se pueden especificar para bloquear el acceso a sitios web Ilegal/Nocivo, Adulto, Malware y SPAM.

Para lograr lo anterior, configure las siguientes entidades:

  • Servidor de nombres DNS para resolver nombres de host.
  • Dirección IP de subred (SNIP) para establecer una conexión con los servidores de origen. La dirección SNIP debe tener acceso a Internet.
  • Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
  • Perfil SSL para definir definições SSL, como criptogramas e parâmetros, para conexões.
  • Pareja de certificado-clave de CA para firmar el certificado de servidor para la interceptación SSL.
  • Política SSL para definir los sitios web a interceptar y omitir.
  • Servidor virtual de autenticación, política y acción para garantizar que sólo se concede acceso a usuarios válidos.
  • Appflow para enviar datos a Citrix Application Delivery Management (ADM).

Los procedimientos CLI y GUI se enumeran para esta configuración de ejemplo. Se utilizan los siguientes valores de ejemplo. Reemplácelos con datos válidos para direcciones IP, certificado y clave SSL y parámetros LDAP.

Nombre Valores utilizados en la configuración de ejemplo
Dirección NSIP 192.0.2.5
Dirección IP de subred 198.51.100.5
Dirección IP del servidor virtual LDAP 192.0.2.116
Dirección IP del servidor de nombres DNS 203.0.113.2
Dirección IP del servidor proxy 192.0.2.100
Dirección IP MAS 192.0.2.41
Certificado de CA para intercepción SSL ns-swg-ca-certkey (certificado: ns_swg_ca.crt y clave: ns_swg_ca.key)
DN base LDAP CN = Usuarios, DC = CTXNSSFB, DC = COM
DN de enlace LDAP CN = Administrador, CN = Usuarios, DC = CTXNSSFB, DC = COM
Contraseña de DN de enlace LDAP ZZZZ

Uso del asistente de puerta de enlace web segura para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial

Para crear una configuración para interceptar y examinar el tráfico cifrado, además del otro tráfico hacia y desde una red, es necesario configurar la configuración de proxy, la configuración de SSLi, la configuración de autenticación de usuario y la configuración de filtrado de URL. Los siguientes procedimientos incluyen ejemplos de los valores introducidos.

Configurar la dirección SNIP y el servidor de nombres DNS

  1. En un explorador Web, escriba la dirección NSIP. Por ejemplo, http://192.0.2.5.

  2. En User Name y Password, introduzca las credenciales de administrador. Aparecerá la siguiente pantalla.

    Imagen localizada

  3. Haga clic dentro de la sección Dirección IP de subred e introduzca una dirección IP.

    Imagen localizada

  4. Haga clic en Done.

  5. Haga clic dentro de la sección Nombre de host, Dirección IP DNS y Zona horaria, e introduzca valores para estos campos.

    Imagen localizada

  6. Haga clic en Listo y, a continuación, haga clic en Continuar.

Configurar la configuración del proxy

  1. Vaya a Secure Web Gateway > Asistente para Secure Web Gateway.

  2. Haga clic en Comenzar y, a continuación, haga clic en Continuar.

  3. En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.

  4. En Modo de captura, seleccione Explícito.

  5. Introduzca una dirección IP y un número de puerto.

    Imagen localizada

  6. Haga clic en Continuar.

Configurar los parámetros de intercepción SSL

  1. Seleccione Habilitar intercepción SSL.

    Imagen localizada

  2. En Perfil SSL, haga clic en “+” para agregar un nuevo perfil SSL front-end y habilitar la intercepción de sesiones SSL en este perfil.

    Imagen localizada

  3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

  4. En Select SSL interception CA Certificate-Key Pair, haga clic en “+” para instalar un par de claves de certificado de CA para la interceptación SSL.

    Imagen localizada

  5. Haga clic en Instalar y, a continuación, en Cerrar.

  6. Agregue una directiva para interceptar todo el tráfico. Haga clic en Vincular y, a continuación, haga clic en Agregar.

    Imagen localizada

  7. Introduzca un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.

  8. En Acción, seleccione INTERCEPCIÓN.

    Imagen localizada

  9. Haga clic en Crear y, a continuación, haga clic en Agregar para agregar otra directiva para omitir información confidencial.

  10. Escriba un nombre para la directiva y, en Categorías de URL, haga clic en Agregar.

  11. Seleccione las categorías Finanzas y Correo electrónico y muévalas a la lista Configurado.

  12. En Acción, seleccione PASIVAR.

    Imagen localizada

  13. Haga clic en Crear.

  14. Seleccione las dos directivas creadas anteriormente y haga clic en Insertar.

    Imagen localizada

  15. Haga clic en Continuar.

    Imagen localizada

Configurar los parámetros de autenticación de usuario

  1. Seleccione Habilitar autenticación de usuario. En el campo Tipo de autenticación, seleccione LDAP.

    Imagen localizada

  2. Agregar detalles del servidor LDAP.

    Imagen localizada

  3. Haga clic en Crear.

  4. Haga clic en Continuar.

Configurar la configuración de filtrado de URL

  1. Seleccione Habilitar categorización de URL y, a continuación, haga clic en Vincular.

    Imagen localizada

  2. Haga clic en Agregar.

    Imagen localizada

  3. Introduzca un nombre para la directiva. En Acción, seleccione Denegar. En Categorías de URL, seleccione Ilegal/Nocivo, Adultoy Malware y SPAM, y muévalos a la lista Configurados.

    Imagen localizada

  4. Haga clic en Crear.

  5. Seleccione la directiva y, a continuación, haga clic en Insertar.

    Imagen localizada

  6. Haga clic en Continuar.

    Imagen localizada

  7. Haga clic en Continuar.

  8. Haga clic en Habilitar análisis.

  9. Introduzca la dirección IP de Citrix ADM y, para Puerto, especifique 5557.

    Imagen localizada

  10. Haga clic en Continuar.

  11. Haga clic en Done.

    Imagen localizada

Utilice Citrix ADM para ver métricas clave para los usuarios y determinar lo siguiente:

  • Comportamiento de navegación de los usuarios de su empresa.
  • Categorías de URL a las que acceden los usuarios de su empresa.
  • Navegadores utilizados para acceder a las URL o dominios.

Utilice esta información para determinar si el sistema del usuario está infectado por malware o comprender el patrón de consumo de ancho de banda del usuario. Puede ajustar las directivas del dispositivo Citrix SWG para restringir estos usuarios o bloquear algunos sitios Web más. Para obtener más información sobre cómo ver las métricas en MAS, consulte el caso de uso “Inspecting endpoints” enCasos de uso del MAS.

Nota

Establezca los siguientes parámetros mediante la CLI.

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED

Ejemplo de CLI

En el ejemplo siguiente se incluyen todos los comandos utilizados para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial.

Configuración general:

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED

Configuración de autenticación:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1

Servidor proxy y configuración de intercepción SSL:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

Configuración de categorías de URL:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ

Configuración de AppFlow para extraer datos en Citrix ADM:

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1