Protección

Para proteger la comunicación entre la comunidad de servidores y la aplicación Citrix Workspace para iOS, puede integrar las conexiones a la comunidad de servidores con la ayuda de diversas tecnologías de seguridad, incluido Citrix Gateway.

Nota:

Citrix recomienda utilizar Citrix Gateway para proteger las comunicaciones entre los servidores StoreFront y los dispositivos de los usuarios.

  • Un servidor proxy SOCKS o un servidor proxy de seguridad (también conocido como servidor proxy seguro o servidor proxy HTTPS). Se pueden utilizar servidores proxy para limitar el acceso hacia y desde la red, y para gestionar las conexiones entre la aplicación Citrix Workspace para iOS y los servidores. La aplicación Citrix Workspace para iOS admite el uso de SOCKS y protocolos de proxy seguro.
  • Secure Web Gateway Puede utilizar Secure Web Gateway junto con la Interfaz Web para proporcionar un punto de acceso único, seguro y cifrado a Internet para los servidores situados en las redes internas de la organización.
  • Soluciones de Traspaso SSL con protocolos TLS (Transport Layer Security)
  • Un firewall. Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza la aplicación Citrix Workspace para iOS a través de un firewall que asigna la dirección IP de red interna del servidor a una dirección de Internet externa (es decir, traducción de direcciones de red, NAT), configure la dirección externa.

Citrix Gateway

Para permitir que los usuarios remotos se conecten a su implementación de Citrix Endpoint Management mediante Citrix Gateway, puede configurar los certificados para que funcionen con StoreFront. El método que se debe utilizar para habilitar el acceso depende de la edición de Citrix Endpoint Management existente en la implementación.

Si implementa Citrix Endpoint Management en la red, integre Citrix Gateway con StoreFront para permitir las conexiones de usuarios internos y usuarios remotos a StoreFront a través de Citrix Gateway. Con esta implementación, los usuarios pueden conectarse a StoreFront para acceder a las aplicaciones publicadas desde XenApp y a los escritorios virtuales desde XenDesktop. Los usuarios se pueden conectar mediante la aplicación Citrix Workspace para iOS.

Secure Web Gateway

Este tema solo se aplica a entornos donde se usa la Interfaz Web.

Es posible usar Secure Web Gateway en modo Normal o en modo Relay (Traspaso) para proporcionar un canal de comunicaciones seguro entre la aplicación Citrix Workspace para iOS y el servidor. No es necesario configurar la aplicación Citrix Workspace para iOS si se utiliza Secure Web Gateway en el modo Normal y los usuarios se conectan a través de la Interfaz Web.

La aplicación Citrix Workspace para iOS usa parámetros que se configuran de forma remota en el servidor de la Interfaz Web para conectarse con los servidores que ejecutan Secure Web Gateway.

Si se instala Secure Web Gateway Proxy en un servidor de una red segura, se puede utilizar Secure Web Gateway Proxy en modo de traspaso (Relay). Si se utiliza el modo Relay, el servidor Secure Web Gateway funciona como un proxy y es necesario configurar la aplicación Citrix Workspace para iOS para que use lo siguiente:

  • El nombre de dominio completo (FQDN) del servidor Secure Web Gateway.
  • El número de puerto del servidor Secure Web Gateway. Tenga en cuenta que el modo Relay no recibe respaldo en la versión 2.0 de Secure Web Gateway.

El nombre de dominio completo (FQDN) debe tener los siguientes tres componentes, consecutivamente:

  • Nombre de host
  • Dominio intermedio
  • Dominio superior

Por ejemplo, mi_equipo.ejemplo.com es un nombre de dominio completo (FQDN), ya que contiene una secuencia de nombre de host (mi_equipo), dominio intermedio (ejemplo) y dominio superior (com). Por lo general, la combinación de nombre de dominio intermedio y dominio superior (ejemplo.com) se conoce como nombre de dominio.

Servidor proxy

Los servidores proxy se usan para limitar el acceso hacia y desde una red, y para ocuparse de las conexiones entre la aplicación Citrix Workspace para iOS y los servidores. La aplicación Citrix Workspace para iOS admite tanto el uso de SOCKS como el de protocolos de proxy seguro.

En la comunicación con el servidor Citrix Virtual Apps and Desktops, la aplicación Citrix Workspace para iOS utiliza los parámetros del servidor proxy configurados de forma remota en el servidor de la Interfaz Web.

En la comunicación con el servidor web, la aplicación Citrix Workspace para iOS utiliza los parámetros del servidor proxy configurados para el explorador web predeterminado en el dispositivo de usuario. Se deben configurar los parámetros del servidor proxy para el explorador web predeterminado en el dispositivo de usuario según corresponda.

Firewall

Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si se utiliza un firewall en el entorno, la aplicación Citrix Workspace para iOS debe poder comunicarse a través de este con el servidor web y el servidor Citrix. El firewall debe permitir el tráfico HTTP para la comunicación entre el dispositivo de usuario y el servidor web (normalmente mediante un puerto HTTP 80 estándar o 443 si se usa un servidor web seguro). Para las comunicaciones del servidor Citrix, el firewall debe permitir el tráfico ICA entrante en los puertos 1494 y 2598.

Si el firewall se ha configurado para la traducción de direcciones de red (NAT), es posible usar la Interfaz Web para definir las asignaciones desde las direcciones internas hacia las direcciones externas y los puertos. Por ejemplo, si el servidor Citrix Virtual Apps and Desktops no se ha configurado con una dirección alternativa, es posible configurar la Interfaz Web para proporcionar una dirección alternativa a la aplicación Citrix Workspace para iOS. A continuación, la aplicación Citrix Workspace para iOS se conecta con el servidor mediante la dirección externa y el número de puerto.

TLS

La aplicación Citrix Workspace para iOS respalda el uso de TLS 1.0, 1.1 y 1.2 con los siguientes conjuntos de cifrado para las conexiones TLS con XenApp/XenDesktop:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Nota:

La aplicación Citrix Workspace para iOS que se ejecuta en iOS 9 y versiones posteriores no respalda los siguientes conjuntos de cifrado TLS:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Transport Layer Security (TLS) es la versión estándar más reciente del protocolo TLS. La organización Internet Engineering Taskforce (IETF) le cambió el nombre a TLS al asumir la responsabilidad del desarrollo de TLS como un estándar abierto.

TLS protege las comunicaciones de datos mediante la autenticación del servidor, el cifrado del flujo de datos y la comprobación de la integridad de los mensajes. Algunas organizaciones, entre las que se encuentran organizaciones del gobierno de los EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones pueden exigir también el uso de cifrado validado, como FIPS 140 (Federal Information Processing Standard). FIPS 140 es un estándar para cifrado.

La aplicación Citrix Workspace para iOS respalda claves RSA de 1024, 2048 y 3072 bits. También se respaldan certificados raíz con claves RSA de 4096 bits.

Nota:

la aplicación Citrix Workspace para iOS usa criptografía de plataforma (iOS) para las conexiones entre la aplicación Citrix Workspace para iOS y StoreFront.

Configurar y habilitar TLS

La configuración de TLS consta de dos pasos:

  1. Configure el Traspaso SSL en el servidor de Citrix Virtual Apps and Desktops y en el servidor de la Interfaz Web. Obtenga e instale el certificado de servidor necesario.
  2. Instale el certificado raíz equivalente en el dispositivo de usuario.

Instalación de certificados raíz en los dispositivos de usuario

Si quiere usar TLS para proteger las comunicaciones entre las instancias de la aplicación Citrix Workspace para iOS habilitadas con TLS y Citrix Virtual Apps and Desktops, se necesita un certificado raíz en el dispositivo de usuario que pueda verificar la firma de la entidad de certificación en el certificado del servidor.

El sistema iOS incluye aproximadamente 100 certificados raíz comerciales ya instalados, pero, si quiere utilizar otro certificado, puede obtenerlo de la entidad de certificación e instalarlo en cada dispositivo de usuario.

Según los procedimientos y las directivas de la empresa, se puede instalar el certificado raíz en cada dispositivo de usuario en lugar de solicitar a los usuarios que lo instalen. La opción más fácil y segura es agregar los certificados raíz al llavero de iOS.

Para agregar un certificado raíz a las llaves

  1. Envíese un correo electrónico con el archivo del certificado.
  2. Abra el archivo del certificado en el dispositivo. Esto inicia automáticamente la aplicación Acceso a llaves.
  3. Siga las indicaciones para agregar el certificado.
  4. A partir de iOS 10, compruebe que el certificado es de confianza desde Ajustes de iOS > Acerca de > Ajustes de confianza de los certificados. En Ajustes de confianza de los certificados, consulte la sección “Activar confianza total en los certificados raíz”. Compruebe que su certificado está seleccionado para la confianza total.

Se instalará el certificado raíz. Los clientes compatibles con TLS y todas las aplicaciones que utilicen TLS podrán usar el certificado raíz.

Sitio de servicios XenApp

Para configurar el sitio de servicios XenApp:

Importante:

  • Citrix Secure Gateway 3.x recibe respaldo en Receiver para iOS usando sitios de XenApp Services.
  • CItrix Secure Gateway 3.x se admite en la aplicación Citrix Workspace para iOS usando sitios web de Citrix Virtual Apps.
  • Solo se admite la autenticación de un factor en los sitios de servicios XenApp, y la autenticación de dos factores en los sitios web de Citrix Virtual Apps.
  • Es necesario utilizar la Interfaz Web versión 5.4, que se admite en todos los exploradores web integrados.

Antes de comenzar esta configuración, instale y configure Citrix Gateway para que funcione con la Interfaz Web. Es posible adaptar estas instrucciones para que se adapten a su entorno específico.

Si utiliza una conexión de Citrix Secure Web Gateway, no configure Citrix Gateway en la aplicación Citrix Workspace para iOS.

El software de la aplicación Citrix Workspace para iOS utiliza un sitio de servicios XenApp para obtener información sobre las aplicaciones a las que un usuario tiene derecho, y las presenta en la aplicación Citrix Workspace para iOS que se ejecuta en el dispositivo. Esto es similar al modo en que se utiliza la Interfaz Web para las conexiones tradicionales de Citrix Virtual Apps basadas en SSL para las que se puede configurar un dispositivo Citrix Gateway. Los sitios de servicios XenApp que se ejecutan en la Interfaz Web 5.x contienen esta capacidad de configuración.

Configure el sitio de servicios XenApp para que admita conexiones desde una conexión de Citrix Secure Gateway:

  1. En el sitio de servicios XenApp, seleccione Administrar el acceso seguro > Modificar parámetros de acceso seguro.
  2. Cambie el método de acceso a Directa con Gateway.
  3. Escriba el FQDN de Secure Web Gateway.
  4. Escriba la información de Secure Ticket Authority (STA).

Nota:

Para Citrix Secure Gateway, Citrix recomienda la utilización de la ruta predeterminada de Citrix para este sitio (//NombreServidorXenApp/Citrix/PNAgent). La ruta predeterminada permite que los usuarios especifiquen el FQDN de Secure Web Gateway al que se están conectando, en lugar de la ruta completa al archivo config.xml que reside en el sitio de servicios XenApp (por ejemplo, //NombreServidorXenApp/RutaPredeterminada/config.xml).

Para configurar Citrix Secure Gateway

  1. En Citrix Secure Gateway, use el asistente de configuración de Citrix Secure Gateway para configurar Citrix Secure Gateway de manera que funcione con el servidor en la red segura que aloja el sitio de servicios XenApp. Después de seleccionar la opción Indirecta, introduzca la ruta del FQDN de su servidor Secure Web Gateway y continúe con los pasos del asistente.
  2. Pruebe la conexión desde un dispositivo de usuario para asegurarse de que Secure Web Gateway está configurado correctamente para la asignación de certificados y red.

Para configurar el dispositivo móvil

  1. Al agregar una cuenta de Citrix Secure Gateway, introduzca el nombre de dominio completo (FQDN) del servidor Secure Gateway en el campo Dirección:
    • Si creó el sitio de servicios XenApp con la ruta predeterminada (/Citrix/PNAgent), escriba el FQDN de Secure Web Gateway: FQDNdeSecureGateway.Empresa.com
    • Si personalizó la ruta del sitio de servicios XenApp, escriba la ruta completa del archivo config.xml. Por ejemplo: FQDNdeSecureGateway.empresa.com/RutaPersonalizada/config.xml
  2. Si configura la cuenta manualmente, desactive la opción de Citrix Gateway en el diálogo Nueva cuenta.