Configuración de directivas de seguridad

La sección Seguridad incluye la configuración de directiva para configurar el cifrado de sesión y el cifrado de los datos de inicio de sesión.

Nivel mínimo de cifrado de SecureICA

Esta configuración especifica el nivel mínimo en el que se cifran los datos de sesión enviados entre el servidor y un dispositivo de usuario.

Importante: Para Virtual Delivery Agent 7.x, esta configuración de directiva solo se puede usar para habilitar el cifrado de los datos de inicio de sesión con cifrado RC5 de 128 bits. Las demás configuraciones se proporcionan únicamente para la compatibilidad con versiones anteriores de Citrix Virtual Apps and Desktops.

Para VDA 7.x, el cifrado de los datos de sesión se establece mediante la configuración básica del Delivery Group del VDA. Si se selecciona Habilitar Secure ICA para el Delivery Group, los datos de sesión se cifran mediante el cifrado RC5 (128 bits). Si no se selecciona Habilitar Secure ICA para el Delivery Group, los datos de sesión se cifran con cifrado Básico.

Al agregar esta configuración a una directiva, seleccione una opción:

• Básico cifra la conexión del cliente mediante un algoritmo que no es RC5. Protege el flujo de datos para que no se lea directamente, pero se puede descifrar. De forma predeterminada, el servidor utiliza el cifrado Básico para el tráfico cliente-servidor.
• Solo inicio de sesión RC5 (128 bits) cifra los datos de inicio de sesión mediante cifrado RC5 de 128 bits y la conexión del cliente mediante cifrado Básico.
• RC5 (40 bits) cifra la conexión del cliente mediante cifrado RC5 de 40 bits.
• RC5 (56 bits) cifra la conexión del cliente mediante cifrado RC5 de 56 bits.
• RC5 (128 bits) cifra la conexión del cliente mediante cifrado RC5 de 128 bits.

La configuración que especifique para el cifrado cliente-servidor puede interactuar con cualquier otra configuración de cifrado de su entorno y de su sistema operativo Windows. Considere que se establece un nivel de cifrado de mayor prioridad en un servidor o dispositivo de usuario. En este caso, la configuración que especifique para los recursos publicados puede anularse.

Puede aumentar los niveles de cifrado para proteger aún más las comunicaciones y la integridad de los mensajes para determinados usuarios. Si una directiva requiere un nivel de cifrado superior, se deniega la conexión a los Citrix Receivers que utilicen un nivel de cifrado inferior.

SecureICA no realiza autenticación ni comprueba la integridad de los datos. Para proporcionar cifrado de extremo a extremo para su sitio, utilice SecureICA con cifrado TLS.

SecureICA no utiliza algoritmos compatibles con FIPS. Si esta configuración supone un problema, configure el servidor y los Citrix Receiver para evitar el uso de SecureICA.

SecureICA utiliza el cifrado de bloque RC5, tal como se describe en RFC 2040, para la confidencialidad. El tamaño del bloque es de 64 bits (un múltiplo de unidades de palabra de 32 bits). La longitud de la clave es de 128 bits. El número de rondas es 12.

Las claves para el cifrado de bloque RC5 se negocian cuando se crea una sesión. La negociación se realiza mediante el algoritmo Diffie-Hellman. Esta negociación utiliza parámetros públicos de Diffie-Hellman. Estos parámetros se almacenan en el registro de Windows cuando se instala el Virtual Delivery Agent. Los parámetros públicos no son secretos. El resultado de la negociación Diffie-Hellman es una clave secreta, de la cual se derivan las claves de sesión para el cifrado de bloque RC5. Se utilizan claves de sesión separadas para el inicio de sesión del usuario y para la transferencia de datos. Además, se utilizan claves de sesión separadas para el tráfico hacia y desde el Virtual Delivery Agent. Por lo tanto, hay cuatro claves de sesión para cada sesión. Las claves secretas y las claves de sesión no se almacenan. Los vectores de inicialización para el cifrado de bloque RC5 también se derivan de la clave secreta.