Seguridad y configuración de red del Servicio de autenticación federada

El Servicio de autenticación federada (FAS) de Citrix está estrechamente integrado con Microsoft Active Directory y con la entidad de certificación (CA) de Microsoft. Es fundamental asegurarse de que el sistema está administrado y protegido correctamente mediante el desarrollo de una directiva de seguridad del mismo modo que lo haría para un controlador de dominio o para otra parte importante de la infraestructura.

Este documento presenta un resume de las cuestiones de seguridad que se deben tener en cuenta al implementar los servicios FAS. También proporciona una visión general de las características disponibles que pueden ayudarle a proteger su infraestructura.

Arquitectura de red

El diagrama siguiente muestra los componentes principales y los límites de seguridad usados en una implementación de FAS.

El servidor FAS debe tratarse como una parte de la infraestructura fundamental para la seguridad, junto con la entidad de certificación (CA) y el controlador de dominio. En un entorno federado, Citrix NetScaler y Citrix StoreFront son componentes de confianza para realizar la autenticación de usuarios; otros componentes de Citrix Virtual Apps and Desktops no se ven afectados por la introducción de FAS.

Imagen localizada

Seguridad de red y firewalls

La comunicación entre NetScaler, StoreFront y los componentes de Delivery Controller debe estar protegida con TLS a través del puerto 443. El servidor StoreFront realiza únicamente conexiones salientes y Citrix Gateway debe aceptar solo conexiones a través de Internet que usen HTTPS en el puerto 443.

El servidor StoreFront contacta con el servidor FAS a través del puerto 80 mediante autenticación Kerberos mutua. En la autenticación se utiliza la identidad Kerberos HOST/FQDN del servidor FAS y la identidad Kerberos de la cuenta de máquina del servidor StoreFront. Eso genera un identificador de credenciales de un solo uso, necesario para que Citrix Virtual Delivery Agent (VDA) inicie la sesión del usuario.

Cuando una sesión HDX se conecta al VDA, el VDA también se comunica con el servidor FAS en el puerto 80. En la autenticación, se utiliza la identidad Kerberos HOST/FQDN del servidor FAS y la identidad Kerberos de máquina del VDA. Además, el VDA debe proporcionar el identificador de credenciales para acceder al certificado y la clave privada.

La entidad de certificación (CA) de Microsoft acepta la comunicación con DCOM autenticado con Kerberos, que se puede configurar para usar un puerto TCP fijo. La CA también requiere que el servidor FAS proporcione un paquete CMC firmado por un certificado de agente de inscripción de confianza.

Servidor Puertos de firewall
Servicio de autenticación federada [entrada] Kerberos por HTTP desde StoreFront y los VDA, [salida] DCOM hacia la entidad de certificación (CA) de Microsoft
NetScaler [entrada] HTTPS desde las máquinas cliente, [entrada o salida] HTTPS hacia o desde el servidor StoreFront, [salida]HDX hacia VDA
StoreFront [entrada] HTTPS desde NetScaler, [salida] HTTPS a Delivery Controller, [salida] Kerberos HTTP hacia FAS
Delivery Controller [entrada] HTTPS desde el servidor StoreFront, [entrada o salida] Kerberos a través de HTTP desde los VDA
VDA [entrada o salida] Kerberos por HTTP desde Delivery Controller, [entrada] HDX desde Citrix Gateway, [salida] Kerberos HTTP hacia FAS
Entidad de certificación de Microsoft [entrada] DCOM y firmado desde FAS

Responsabilidades de administración

La administración del entorno se puede dividir en los siguientes grupos:

Nombre Responsabilidad
Administrador de la organización Instalar y proteger las plantillas de certificado en el bosque
Administrador del dominio Configurar parámetros de directivas de grupo
Administrador de CA Configurar la entidad de certificación
Administrador de FAS Instalar y configurar el servidor FAS
Administrador de StoreFront y NetScaler Configurar la autenticación de usuarios
Administrador de Citrix Virtual Desktops Configurar los VDA y los Controllers

Cada administrador controla diferentes aspectos del modelo de seguridad global, lo que permite aplicar un enfoque de defensa en profundidad para proteger el sistema.

Configuración de directivas de grupo

Las máquinas FAS de confianza se identifican en una tabla de búsqueda por “número de índice -> FQDN” configurada mediante Directiva de grupo. Al contactar con un servidor FAS, los clientes verifican la identidad Kerberos HOST\<fqdn> del servidor FAS. Todos los servidores que tienen acceso al servidor FAS deben tener configuraciones idénticas de FQDN con el mismo índice; de lo contrario, StoreFront y los VDA pueden contactar con servidores FAS distintos.

Para evitar errores de configuración, Citrix recomienda aplicar una única directiva a todas las máquinas del entorno. Ponga cuidado a la hora de modificar la lista de servidores de FAS, especialmente al quitar o reordenar las entradas.

El control de este objeto de directiva de grupo debe estar limitado a los administradores de FAS (y/o los administradores de dominio) encargados de instalar y retirar servidores FAS. Ponga cuidado para no reutilizar un nombre de dominio completo (FQDN) al poco tiempo de retirar un servidor FAS.

Plantillas de certificado

Si no quiere utilizar la plantilla de certificado Citrix_SmartcardLogon suministrada con FAS, puede modificar una copia de ella. Se admiten las siguientes modificaciones.

Cambiar el nombre de una plantilla de certificado

Si quiere cambiar el nombre de Citrix_SmartcardLogon para que coincida con la nomenclatura de nombramiento de plantillas que estipula la organización, debe:

  • Crear una copia de la plantilla de certificado y cambiarle el nombre para que coincida con la nomenclatura de la denominación de la organización.
  • Use comandos de PowerShell FAS para administrar FAS, en lugar de la interfaz del usuario administrador. (La interfaz del usuario administrador se diseñó para usarla únicamente con los nombres de plantilla predeterminados de Citrix.)
    • Utilice el complemento Plantillas de certificados de MMC de Microsoft o el comando Publish-FasMsTemplate para publicar la plantilla, y
    • Utilice el comando New-FasCertificateDefinition para configurar FAS con el nombre de su plantilla.

Modificar propiedades generales

Puede modificar el período de validez de la plantilla de certificado.

No modifique el período de renovación. FAS ignora esta configuración en la plantilla de certificado. FAS renovará automáticamente el certificado a mitad de su período de validez.

Modificar propiedades de gestión de peticiones

No modifique estas propiedades. FAS ignora esta configuración en la plantilla de certificado. FAS siempre desmarca Permitir que la clave privada se pueda exportar y Renovar con la misma clave.

Modificar propiedades de criptografía

No modifique estas propiedades. FAS ignora esta configuración en la plantilla de certificado.

Consulte Protección de claves privadas para el Servicio de autenticación federada para conocer los parámetros equivalentes que ofrece FAS.

Modificar propiedades de atestación de clave

No modifique estas propiedades. FAS no admite la atestación de la clave.

Modificar propiedades de plantillas reemplazadas

No modifique estas propiedades. FAS no admite la sustitución de plantillas.

Modificar propiedades de extensiones

Puede modificar estas opciones de configuración para que coincidan con la directiva de la organización.

Nota: Una configuración inadecuada de las extensiones puede causar problemas de seguridad o resultar en certificados inutilizables.

Modificar propiedades de seguridad

Citrix recomienda modificar estas opciones de configuración para conceder el permiso de inscripción solo a las cuentas de máquina de los servidores FAS. En cuanto a otros servicios, conceda también el permiso de control total al sistema. No se requiere ningún otro permiso. Puede que le interese conceder otros permisos; por ejemplo, para permitir que los administradores de FAS vean una plantilla modificada para solucionar problemas.

Imagen localizada

Modificar propiedades de nombre del sujeto

Si fuera necesario, puede modificar estas opciones de configuración para que coincidan con la directiva de la organización.

Modificar propiedades de servidor

Aunque Citrix no lo recomienda, puede modificar estas opciones de configuración para que coincidan con la directiva de la organización si fuera necesario.

Modificar propiedades de requisitos de emisión

No modifique estos parámetros. Estos parámetros deben ser como se muestra a continuación:

Imagen localizada

Modificar propiedades de compatibilidad

Puede modificar estos parámetros. El valor debe ser al menos Windows Server 2003 CAs (versión 2 del esquema). Sin embargo, FAS solo admite entidades emisoras de certificados Windows Server 2008 y posterior. Además, como se ha explicado anteriormente, FAS pasa por alto la configuración adicional disponible si se selecciona Windows Server 2008 CAs (versión 3 del esquema) o Windows Server 2012 CAs (versión 4 del esquema).

Administrar la entidad de certificación

El administrador de la entidad de certificación (CA) es responsable de la configuración del servidor CA y de la clave privada de emisión de certificados que se usa.

Publicar plantillas

Para que una entidad de certificación emita certificados basados en una plantilla proporcionada por el administrador de la empresa, el administrador de CA debe elegir publicar esa plantilla.

Una sencilla medida de seguridad consiste en publicar solo las plantillas de RA cuando se están instalando los servidores FAS, o insistir en un proceso de emisión que tenga lugar completamente fuera de línea. En ambos casos, el administrador de la CA debe mantener el control total de la autorización de las solicitudes de certificados de RA, y tener una directiva para autorizar los servidores FAS.

Parámetros de firewall

Por lo general, el administrador de la entidad de certificación (CA) también tiene el control de los parámetros de firewall de red de la CA, lo que permite controlar las conexiones entrantes. El administrador de la CA puede configurar reglas de firewall y DCOM TCP para que solo los servidores FAS puedan solicitar certificados.

Inscripción restringida

De forma predeterminada, cualquier titular de un certificado RA puede emitir certificados a cualquier usuario, usando cualquier plantilla de certificado que permita el acceso. Debe restringirse a un grupo de usuarios sin privilegios con la ayuda de la propiedad “Restringir agentes de inscripción” de la CA.

Imagen localizada

Módulos de directiva y auditoría

Para implementaciones avanzadas, se pueden usar módulos de seguridad personalizados con los que se puede hacer un seguimiento y vetar la emisión de certificados.

Administrar FAS

FAS tiene varias características de seguridad.

Restringir StoreFront, usuarios y VDA mediante una lista de control de acceso

En el centro del modelo de seguridad de FAS está el control del acceso a la funcionalidad para las cuentas de Kerberos:

Vector de acceso Descripción
[Proveedor de identidades] de StoreFront Estas cuentas de Kerberos son de confianza para declarar que un usuario se ha autenticado correctamente. Si una de estas cuentas está en situación de riesgo, se pueden crear y usar certificados para los usuarios permitidos por la configuración de FAS.
[Entidad de confianza] de los VDA Estas son las máquinas a las que se permite acceder a los certificados y las claves privadas. Se necesita también un identificador de credencial obtenido por el IdP, de modo que una cuenta de VDA de este grupo que esté en situación de riesgo tendrá un ámbito muy limitado para atacar el sistema.
Usuarios Esto controla qué usuarios pueden ser objeto de aserciones de proveedor de identidades (IdP). Tenga en cuenta que esto se solapa con las opciones de configuración de Agente de inscripción restringido (Restricted Enrollment Agent) en la CA. En general, se recomienda incluir solo cuentas sin privilegios en esta lista. Esto evita que una cuenta de StoreFront que esté en situación de riesgo pueda aumentar sus privilegios a un nivel administrativo superior. En concreto, las cuentas de administrador de dominio no deben permitirse en esta lista de control de acceso.

Configurar reglas

Las reglas son útiles cuando hay varias implementaciones de Citrix Virtual Apps o Citrix Virtual Desktops independientes que usan la misma infraestructura de servidor FAS. Cada regla tiene un conjunto de opciones de configuración aparte; en concreto, las listas de control de acceso se pueden configurar de forma independiente.

Configurar la entidad de certificación (CA) y las plantillas

Se pueden configurar plantillas de certificados y entidades de certificación diferentes para distintos derechos de acceso. En configuraciones avanzadas, se puede elegir usar certificados más o menos potentes en función del entorno. Por ejemplo, los usuarios identificados como “externos” pueden tener un certificado con menos privilegios que los usuarios “internos”.

Certificados de sesión y de autenticación

El administrador de FAS puede controlar si el certificado usado para autenticar está disponible para su uso también dentro de la sesión del usuario. Por ejemplo, puede tener solo certificados de “firma” disponibles durante la sesión, y usar el certificado más potente de “inicio de sesión” solo para iniciar sesión.

Protección de la clave privada y longitud de la clave

El administrador de FAS puede configurar FAS para almacenar las claves privadas en un módulo de seguridad de hardware (HSM) o en un módulo de plataforma de confianza (TPM). Citrix recomienda que se almacene, por lo menos, la clave privada del certificado de RA en un módulo TPM para protegerla; esta opción se ofrece como parte del proceso de solicitud de certificado “sin conexión”.

Del mismo modo, las claves privadas de certificado de usuario se pueden guardar en un módulo TPM o HSM. Todas las claves deben generarse como “no-exportables” y deben tener una longitud mínima de 2048 bits.

Registros de eventos

El servidor FAS proporciona registros de eventos detallados sobre configuración y tiempo de ejecución, que se pueden utilizar para la auditoría y la detección de intrusiones.

Acceso administrativo y herramientas de administración

El servicio FAS incluye herramientas y características de administración remota (autenticación Kerberos mutua). Los miembros del grupo “Administradores locales” tienen control total sobre la configuración de FAS. Esta lista se debe mantener con cuidado.

Administradores de VDA, Citrix Virtual Apps y Citrix Virtual Desktops

En general, usar FAS no cambia el modelo de seguridad de los administradores de VDA ni Delivery Controller, ya que el “identificador de credencial” de FAS simplemente reemplaza la “contraseña de Active Directory”. Los grupos de administración de Controller y VDA deben contener solo usuarios de confianza. Deben mantenerse registros de eventos y auditoría.

Seguridad general de los servidores Windows

Todos los servidores deben contar con las revisiones disponibles y tener instalado un software de firewall y antivirus estándar. Los servidores de la infraestructura de importancia crítica para la seguridad deben ubicarse en un lugar protegido físicamente, y hay que poner especial cuidado en las opciones de cifrado de los discos y el mantenimiento de las máquinas virtuales.

Los registros de eventos y auditoría deben almacenarse de forma segura en una máquina remota.

El acceso RDP debe limitarse solo a administradores autorizados. Cuando sea posible, las cuentas de usuario deben requerir el inicio de sesión con tarjeta inteligente, especialmente para las cuentas de administradores de dominio y de CA.

Información relacionada