Proteger

Para proteger la comunicación entre el sitio y la aplicación Citrix Workspace, se pueden integrar las conexiones de la aplicación Citrix Workspace con el sitio a través de diversas tecnologías de seguridad, que incluyen:

  • Un servidor proxy SOCKS o un servidor proxy de seguridad (también conocido como servidor proxy seguro, un servidor proxy HTTPS o un servidor proxy de canalización TLS). Se pueden utilizar servidores proxy para limitar el acceso hacia y desde la red, y para gestionar las conexiones entre la aplicación Citrix Workspace y los servidores. La aplicación Citrix Workspace respalda protocolos de proxy seguro y SOCKS.
  • Soluciones de Citrix Secure Web Gateway o Traspaso SSL con protocolos TLS (Transport Layer Security) Se respaldan las versiones de TLS de 1.0 a 1.2.
  • Un firewall. Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza la aplicación Citrix Workspace a través de un firewall que asigna la dirección IP de red interna del servidor a una dirección de Internet externa (es decir, traducción de direcciones de red, NAT), configure la dirección externa.

Conexión a través de un servidor proxy

Los servidores proxy se utilizan para limitar el acceso hacia la red y desde ella, y para gestionar conexiones entre la aplicación Citrix Workspace y los entornos de Citrix Virtual Apps o Citrix Virtual Desktops. La aplicación Citrix Workspace admite el protocolo SOCKS, junto con Citrix Secure Web Gateway y Traspaso SSL Citrix, el protocolo de proxy seguro y la autenticación de desafío y respuesta de Windows NT (NTLM).

La lista de tipos de proxy respaldados está restringida por el contenido de Trusted_Regions.ini y Untrusted_Regions.ini a los tipos Auto (automático), None (ninguno) y Wpad. Si usa otros tipos (SOCKS, Secure o Script), modifique esos archivos para agregarlos a la lista de permitidos.

Nota:

Para garantizar una conexión segura, habilite TLS.

Conexión a través de un servidor proxy seguro

La configuración de conexiones para utilizar el protocolo de proxy seguro también permite respaldo para la autenticación de desafío y respuesta de Windows NT (NTLM). Si este protocolo está disponible, se detectará y se utilizará en el momento de la ejecución sin ninguna configuración adicional.

Importante:

El respaldo para NTLM requiere que la biblioteca de OpenSSL, libcrypto.so, esté instalada en el dispositivo del usuario. Esta biblioteca se suele incluir en las distribuciones de Linux, pero puede descargarse desde http://www.openssl.org/, si es necesario, en una ventana nueva.

Conexión con Citrix Secure Web Gateway o Traspaso SSL Citrix

Puede integrar la aplicación Citrix Workspace con los servicios Citrix Secure Web Gateway o servicio de Traspaso SSL. La aplicación Citrix Workspace admite el protocolos TLS. TLS (Transport Layer Security) es la versión estándar más reciente del protocolo SSL. La organización Internet Engineering Taskforce (IETF) le cambió el nombre a TLS al asumir la responsabilidad del desarrollo de SSL como un estándar abierto. TLS protege las comunicaciones de datos mediante la autenticación del servidor, el cifrado del flujo de datos y la comprobación de la integridad de los mensajes. Algunas organizaciones, entre las que se encuentran organizaciones del gobierno de los EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones también pueden exigir el uso de cifrado validado, como FIPS 140 (Estándar federal de procesamiento de información). FIPS 140 es un estándar para cifrado.

Conexión con Citrix Secure Web Gateway

Es posible usar Citrix Secure Web Gateway en modo Normal o en modo Relay (Traspaso) para proporcionar un canal de comunicaciones seguro entre la aplicación Citrix Workspace y el servidor. No es necesario configurar la aplicación Citrix Workspace si se utiliza Citrix Secure Web Gateway en el modo Normal y los usuarios se conectan a través de la Interfaz Web.

La aplicación Citrix Workspace usa parámetros que se configuran de forma remota en el servidor que ejecuta la Interfaz Web para conectarse a los servidores que ejecutan Citrix Secure Web Gateway. Para obtener más información sobre la configuración de los parámetros de servidores proxy para la aplicación Citrix Workspace, consulte la documentación de la Interfaz Web.

Si se instala Citrix Secure Web Gateway Proxy en un servidor de una red segura, se puede utilizar Citrix Secure Web Gateway Proxy en modo de traspaso (Relay). Para obtener más información, consulte la documentación de Citrix Virtual Apps (Citrix Secure Web Gateway).

Si se utiliza el modo de traspaso, el servidor Citrix Secure Web Gateway funciona como un proxy y es necesario configurar la aplicación Citrix Workspace para que use lo siguiente:

  • El nombre de dominio completo (FQDN) del servidor Citrix Secure Web Gateway.
  • El número de puerto del servidor Citrix Secure Web Gateway. El modo de traspaso no recibe respaldo en la versión 2.0 de Citrix Secure Web Gateway.

El nombre de dominio completo (FQDN) debe tener los siguientes tres componentes, consecutivamente:

  • Nombre de host
  • Dominio intermedio
  • Dominio superior

Por ejemplo: mi_equipo.mi_empresa.com es un nombre de dominio completo porque contiene el nombre de host (mi_equipo), un dominio intermedio (mi_empresa) y un dominio superior (com). Por lo general, la combinación de nombre de dominio intermedio y dominio superior (mi_empresa.com) se conoce como nombre de dominio.

Conexión con el Traspaso SSL Citrix

De forma predeterminada, el Traspaso SSL Citrix utiliza el puerto TCP 443 en el servidor Citrix Virtual Appspara las comunicaciones protegidas con SSL/TLS. Cuando el Traspaso SSL recibe una conexión TLS, descifra los datos antes de redirigirlos al servidor.

Si configuró el Traspaso SSL para un puerto de escucha distinto a 443, debe especificar en la aplicación Citrix Workspace ese número de puerto de escucha no estándar.

Puede utilizar el Traspaso SSL Citrix para proteger las comunicaciones:

  • Entre un dispositivo de usuario habilitado con TLS y un servidor
  • Con la Interfaz Web, entre el servidor Citrix Virtual Apps y el servidor Web

Para obtener más información sobre la configuración y el uso del Traspaso SSL para proteger la instalación, consulte la documentación de Citrix Virtual Apps. Para obtener más información sobre la configuración de la Interfaz Web para utilizar el cifrado TLS, consulte la documentación de la Interfaz Web.

Configuración y habilitación de TLS

Se puede controlar las versiones del protocolo TLS que se pueden negociar añadiendo las siguientes opciones de configuración en la sección [WFClient]:

  • MinimumTLS=1.0
  • MaximumTLS=1.2

Estos son los valores predeterminados implementados en el código. No obstante, puede ajustarlos según sea necesario.

Nota 1:

Estos valores se leen en el momento de iniciar los programas. Si los cambia después de haber iniciado selfservice o storebrowse, debe escribir: killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

Nota 2:

La aplicación Citrix Workspace para Linux no permite usar el protocolo SSLv3.

La aplicación Citrix Workspace para Linux respalda DTLS 1.0 y TLS 1.0, 1.1 y 1.2, con los conjuntos de cifrado siguientes:

  • RSA + AES256-SHA (RSA para el intercambio de claves, AES 256 para el cifrado y SHA-1 para digest)
  • RSA+AES256-SHA256 (RSA para el intercambio de claves, AES 256 para el cifrado y SHA-256 para digest)
  • RSA+AES128-SHA (RSA para el intercambio de claves, AES 128 para el cifrado y SHA-1 para digest)
  • RSA+DES-CBC3-SHA (RSA para el intercambio de claves, Triple-DES para el cifrado y SHA-1 para digest)
  • RSA+RC4128-MD5 (RSA para el intercambio de claves, RC4-128 para el cifrado y MD5 para digest)
  • RSA+RC4128-SHA (RSA para el intercambio de claves, RC4 128 para el cifrado, SHA-1 para digest)
  • RSA+AES128_GCM+SHA256 (RSA para el intercambio de claves, AES 128 para el cifrado, SHA-256 para digest)
  • RSA+AES256_GCM+SHA384 (RSA para el intercambio de claves, AES 256 para el cifrado, SHA-384 para digest)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Curva elíptica Diffie-Hellman para el intercambio de claves, RSA para la autenticación, AES 256 y GCM SHA 384 para digest)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (Curva elíptica Diffie–Hellman para el intercambio de claves, RSA para la autenticación, AES 256 y CBC SHA 384 para digest)
  • TLS_RSA_AES256_CBC_SHA256 (RSA para la autenticación, AES 256 y CBC SHA 256 para digest)

El tamaño de clave de cifrado efectivo es según se define en cada conjunto de cifrado SSL/TLS estándar, indicado anteriormente:

  • Algoritmo RC4: 128 bits (cifrado de flujo)
  • Algoritmo Triple DES: 3 x 64 bits (tamaño efectivo: 3 x 56 = 168) (64 bits de tamaño de bloque)
  • Algoritmo AES: 128 bits o 256 bits (tamaño de bloque 128)
  • Para la autenticación y el intercambio de claves RSA, los tamaños de clave respaldados (módulo) van de 1024 bits a 4096 bits.
  • Para el intercambio de claves ECDH, las curvas elípticas compatibles son NIST P-256 y NIST P-384 (longitudes de clave de 256 y 384 bits).

Para seleccionar el conjunto de cifrado, agregue la siguiente opción de configuración en la sección [WFClient]:

  • SSLCiphers=GOV

Este es el valor predeterminado. Otros valores reconocidos son COM y ALL. Note: Al igual que con la configuración de la versión de TLS, si lo cambia después de haber iniciado selfservice o storebrowse, debe escribir: killall AuthManagerDaemon ServiceRecord selfservice storebrowse

Instalación de certificados raíz en los dispositivos de los usuarios

Para utilizar TLS necesita un certificado raíz en el dispositivo del usuario que pueda verificar la firma de la entidad de certificación en el certificado del servidor. De manera predeterminada, la aplicación Citrix Workspace admite los siguientes certificados.

Certificado Autoridad emisora
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem Class 3 Public Primary Certification Authority
GeoTrust_Global_CA.pem GeoTrust
DigiCertGlobalRootCA.pem DigiCert Global Root CA

No es obligatorio que obtenga e instale certificados raíz en el dispositivo del usuario para utilizar los certificados de estas entidades de certificación. Sin embargo, si desea utilizar una entidad de certificación diferente, deberá obtener e instalar un certificado raíz de la entidad de certificación en cada dispositivo del usuario.

La aplicación Citrix Workspace para Linux respalda el uso de claves RSA de 1024, 2048 y 3072 bits. También se respaldan certificados raíz con claves RSA de 4096 bits.

Nota:

La aplicación Citrix Workspace para Linux 1808 y versiones posteriores utilizan la herramienta ctx_rehash como se describe en los siguientes pasos.

Uso de un certificado raíz

Si autentica un certificado de servidor que fue emitido por una entidad de certificación pero el dispositivo de usuario todavía no confía en él, siga estas instrucciones antes de agregar una tienda de StoreFront.

  1. Obtenga el certificado raíz en formato PEM. Sugerencia: Si no puede encontrar un certificado en este formato, use la utilidad openssl para convertir un certificado en formato CRT a un archivo .pem.
  2. Mediante la cuenta de usuario con la que instaló el paquete (normalmente root):
    1. Copie el archivo en $ICAROOT/keystore/cacerts.

    2. Ejecute el comando siguiente:

      $ICAROOT/util/ctx_rehash

Uso de un certificado intermedio

Si el servidor StoreFront no puede proporcionar los certificados intermedios que coincidan con el certificado que está utilizando, o si usted instala certificados intermedios para admitir a usuarios de tarjetas inteligentes, siga estas instrucciones antes de agregar una tienda de StoreFront.

  1. Obtenga uno o varios certificados intermedios por separado en formato PEM. Sugerencia: Si no puede encontrar un certificado en este formato, use la utilidad openssl para convertir un certificado en formato CRT a un archivo .pem.
  2. Mediante la cuenta de usuario con la que instaló el paquete (normalmente root):
    1. Copie uno o varios archivos a $ICAROOT/keystore/intcerts.

    2. Ejecute el siguiente comando como usuario que instaló el paquete:

      $ICAROOT/util/ctx_rehash

Habilitación del respaldo para tarjetas inteligentes

La aplicación Citrix Workspace para Linux ofrece respaldo para distintos lectores de tarjetas inteligentes. Si el respaldo para tarjetas inteligentes está habilitado para el servidor y la aplicación Citrix Workspace, puede utilizar tarjetas inteligentes para los siguientes fines:

  • Autenticación de inicio de sesión con tarjetas inteligentes. Utilice tarjetas inteligentes para autenticar usuarios en servidores de Citrix Virtual Apps.
  • Respaldo para aplicaciones de tarjetas inteligentes. Habilite las aplicaciones publicadas compatibles con tarjetas inteligentes para que puedan acceder a dispositivos de tarjetas inteligentes locales.

Los datos de la tarjeta inteligente contienen información de seguridad, y deben transmitirse a través de un canal autenticado y seguro, como TLS.

El respaldo para tarjetas inteligentes tiene los siguientes requisitos previos:

  • Sus lectores de tarjetas inteligentes y aplicaciones publicadas deben ser compatibles con el estándar de la industria PC/SC.
  • Instale el controlador apropiado para su tarjeta inteligente.
  • Instale el paquete PC/SC Lite.
  • Debe instalar y ejecutar el demonio pcscd, lo que proporciona al middleware acceso mediante PC/SC a las tarjetas inteligentes.
  • En un sistema de 64 bits, las versiones de 32 y 64 bits del paquete “libpscslite1” deben estar presentes.

Importante: Si utiliza el terminal SunRay con, al menos, la versión 2.0 del software del servidor SunRay, instale el paquete de desvío de PC/SC SRCOM, que puede descargarse en http://www.sun.com/.

Para obtener más información sobre cómo configurar el respaldo para tarjetas inteligentes en los servidores, consulte la documentación de Citrix Virtual Apps and Desktops.

Conexión a través de Citrix Gateway

Citrix Gateway (antes llamado Access Gateway) protege las conexiones a las tiendas de StoreFront, y permite a los administradores un control detallado del acceso de los usuarios a los escritorios y las aplicaciones.

Para conectarse a escritorios y aplicaciones a través de Citrix Gateway

  1. Especifique la dirección URL de Citrix Gateway que le suministre el administrador. Puede hacerlo mediante alguno de estos procedimientos:

    • La primera vez que use la interfaz de usuario de autoservicio, se le solicitará que introduzca la dirección URL en el cuadro de diálogo Agregar cuenta
    • Cuando utilice más tarde la interfaz de usuario de autoservicio, puede introducir la URL en Preferencias > Cuentas > Agregar
    • Si desea establecer una conexión mediante el comando storebrowse, escriba la dirección URL en la línea de comandos

    La dirección URL especifica la puerta de enlace y, opcionalmente, una tienda concreta:

    • Para conectar con el primer almacén que encuentre la aplicación Citrix Workspace, use una URL con, por ejemplo, el formato: https://gateway.company.com.
    • Para conectar con un almacén específico, use una URL con, por ejemplo, el formato: https://gateway.company.com?<storename>. Esta dirección URL dinámica no tiene el formato estándar; no incluya = (el signo igual) en la URL. Si quiere establecer una conexión a una tienda concreta mediante storebrowse, puede que se necesiten comillas alrededor de la dirección URL en el comando storebrowse.
  2. Cuando se le solicite, conéctese a la tienda (a través de la puerta de enlace) con su nombre de usuario, contraseña y token de seguridad. Para obtener más información sobre este paso, consulte la documentación de Citrix Gateway.

    Una vez completado el proceso de autenticación, se muestran los escritorios y las aplicaciones.

Configuración de conjuntos de cifrado obsoletos

Los conjuntos de cifrado con el prefijo TLS_RSA_ no ofrecen confidencialidad directa. Por lo general, estos conjuntos de cifrado se consideran obsoletos en el sector de las TIC. Sin embargo, por compatibilidad con versiones anteriores de Citrix Virtual Apps and Desktops, la aplicación Citrix Workspace para Linux dispone de una opción para utilizar estos conjuntos de cifrado.

Los indicadores se han creado para permitir el uso de conjuntos de cifrado obsoletos. En la versión de la aplicación Citrix Workspace 1808 para Linux, estos indicadores están habilitados de forma predeterminada, pero no se aplica la obsolescencia de estos conjuntos de cifrado mediante los algoritmos AES o 3DES de forma predeterminada. Sin embargo, puede modificar y usar estos indicadores para aplicar la obsolescencia más estrictamente.

Para mayor seguridad, establezca el indicador Enable_TLS_RSA_ en “False”.

A continuación, dispone de la lista de conjuntos de cifrado obsoletos:

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Nota:

Los dos últimos conjuntos de cifrado utilizan el algoritmo RC4 y están obsoletos porque no son seguros. El conjunto de cifrado TLS_RSA_3DES_CBC_EDE_SHA también se puede considerar obsoleto. Puede usar estos indicadores para aplicar todos estos elementos obsoletos.

Para obtener información sobre la configuración de DTLS v1.2, consulte Transporte adaptable.

Requisito previo

Para configurar esta característica en el cliente, realice el siguiente paso:

Si .ICAClient ya está presente en la carpeta de inicio del usuario actual:

  • Elimine el archivo All_Regions.ini

O bien:

  • Para conservar el archivo AllRegions.ini, agregue las siguientes líneas al final de la sección [Network\SSL]:
    • Enable_RC4-MD5=
    • Enable_RC4_128_SHA=
    • Enable_TLS_RSA_=

Si la carpeta .ICAClient no está presente en la carpeta particular del usuario actual, entonces es que indica una nueva instalación de la aplicación Citrix Workspace. En ese caso, se conserva la configuración predeterminada para la funcionalidad.

Para configurar conjuntos de cifrado obsoletos

  1. Abra el archivo $ICAROOT/config/All_Regions.ini.
  2. En la sección Network\SSL, use los siguientes tres indicadores para habilitar o inhabilitar los conjuntos de cifrado obsoletos:

    • Enable_TLS_RSA_: De forma predeterminada, el indicador Enable_TLS_RSA_ está establecido en “True”. Establezca el indicador Enable_TLS_RSA_ en “True” para ver los siguientes conjuntos de cifrado:

      • TLS_RSA_AES256_GCM_SHA384
      • TLS_RSA_AES128_GCM_SHA256
      • TLS_RSA_AES256_CBC_SHA256
      • TLS_RSA_AES256_CBC_SHA
      • TLS_RSA_AES128_CBC_SHA
      • TLS_RSA_3DES_CBC_EDE_SHA

    Importante:

    Establezca el indicador Enable_TLS_RSA_ en “True” para usar los otros dos conjuntos de cifrado: Enable_RC4-MD5 y Enable_RC4_128_SHA.

    • Enable_RC4-MD5: De forma predeterminada, el indicador Enable_RC4-MD5 está establecido en False. Establezca este indicador en “True” para habilitar el conjunto de cifrado RC4-MD5.
    • Enable_RC4_128_SHA: De forma predeterminada, el indicador Enable_RC4_128_SHA está establecido en False. Establezca este indicador en “True” para habilitar el conjunto de cifrado RC4_128_SHA.
  3. Guarde el archivo.

La tabla siguiente muestra los conjuntos de cifrado en cada grupo:

Imagen de la tabla que muestra la matriz de compatibilidad de conjuntos de cifrado

Tabla 1: Matriz de respaldo de conjuntos de cifrado

Importante:

En el futuro, Citrix solo admitirá los siguientes tres conjuntos de cifrado:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 – TLS 1.2/DTLS 1.2, GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 – TLS 1.2/DTLS 1.2 GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – TLS 1.0/1.1/1.2, DTLS 1.0/1.2 COM/ALL

Nota:

Todos los conjuntos de cifrado anteriores cumplen con FIPS y SP800-52. Los dos primeros están permitidos solo para conexiones (D)TLS1.2. Consulte Tabla 1: Matriz de respaldo a conjuntos de cifrado para obtener una representación completa de la compatibilidad con los conjuntos de cifrado.