Proteger comunicaciones

Para proteger la comunicación entre el sitio y la aplicación Citrix Workspace, se pueden integrar las conexiones de la aplicación Citrix Workspace a través de tecnologías de seguridad como Citrix Gateway.

Nota:

Citrix recomienda utilizar Citrix Gateway entre los servidores de StoreFront y los dispositivos de los usuarios.

• Un firewall: Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza la aplicación Citrix Workspace a través de un firewall que asigna la dirección IP de red interna del servidor a una dirección de Internet externa (es decir, traducción de direcciones de red, NAT), configure la dirección externa.

• Servidor de confianza.

• Solo para implementaciones de Citrix Virtual Apps and Desktops o Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service; no se aplica a XenDesktop 7): Un servidor proxy SOCKS o un servidor proxy seguro (también conocido como servidor proxy de seguridad, servidor proxy HTTPS o servidor proxy de túnel Transport Layer Security o TLS). Se pueden utilizar servidores proxy para limitar el acceso hacia y desde la red, y para gestionar las conexiones entre la aplicación Citrix Workspace y los servidores. La aplicación Citrix Workspace admite protocolos de proxy seguro y SOCKS.

• Solo para implementaciones de Citrix Virtual Apps and Desktops o Citrix DaaS: Soluciones Citrix Secure Web Gateway o Traspaso SSL con protocolos TLS. Se admite de la versión 1.0 a la versión 1.2 de TLS.

Citrix Gateway

Citrix Gateway (anteriormente Access Gateway) protege las conexiones a los almacenes de StoreFront. Además, permite a los administradores controlar, de manera detallada, el acceso de los usuarios a los escritorios y las aplicaciones.

Para conectarse a escritorios y aplicaciones a través de Citrix Gateway:

1. Especifique la URL de Citrix Gateway que el administrador proporciona de una de las siguientes maneras:

   • La primera vez que use la interfaz de usuario de autoservicio, se le solicitará que introduzca la dirección URL en el cuadro de diálogo Agregar cuenta
   • Cuando utilice más tarde la interfaz de usuario de autoservicio, puede introducir la URL en Preferencias > Cuentas > Agregar.
   • Si quiere establecer una conexión mediante el comando storebrowse, escriba la dirección URL en la línea de comandos.

   La dirección URL especifica la puerta de enlace y, si quiere, un almacén concreto:

   • Para conectar con el primer almacén que encuentre la aplicación Citrix Workspace, use una URL con, por ejemplo, el formato: https://gateway.company.com.
   • Para conectar con un almacén específico, use una URL con, por ejemplo, el formato: https://gateway.company.com?<storename>. Esta dirección URL dinámica no tiene el formato estándar; no incluya = (el signo igual) en la URL. Si quiere establecer una conexión a un almacén concreto mediante storebrowse, puede que se necesiten comillas alrededor de la dirección URL en el comando storebrowse.

2. Cuando se le solicite, conéctese al almacén (a través de la puerta de enlace) con su nombre de usuario, contraseña y token de seguridad. Para obtener más información sobre este paso, consulte la documentación de Citrix Gateway.

   Una vez completado el proceso de autenticación, se muestran los escritorios y las aplicaciones.

Servidor proxy

Los servidores proxy se utilizan para limitar el acceso entrante y saliente de la red, y para gestionar conexiones entre la aplicación Citrix Workspace y los entornos de Citrix Virtual Apps and Desktops o Citrix DaaS.

La aplicación Citrix Workspace admite el protocolo SOCKS, junto con lo siguiente:

• Citrix Secure Web Gateway y el Traspaso SSL de Citrix, el protocolo de proxy seguro
• Autenticación de desafío/respuesta de Windows NT (NTLM).

Para configurar el proxy de modo que inicie un escritorio, haga lo siguiente:

1. Vaya al archivo de configuración ~/.ICAClient/All_Regions.ini.

2. Actualice estos atributos:

   1. Actualice ProxyType. Puede usar SocksV5 como ProxyType.

   2. Actualice ProxyHost. Puede agregar ProxyHost en este formato:

      <IP>:<PORT>. Por ejemplo: “10.122.122.122:1080”.

Nota:

• Para usar el proxy, inhabilite EDT. Para inhabilitar EDT, desactive el atributo HDXoverUDP en la sección [Network\UDT] del archivo de configuración ~/.ICAClient/All_Regions.ini.
• Para garantizar una conexión segura, habilite TLS.

Servidor proxy seguro

La configuración de conexiones para utilizar el protocolo de proxy seguro también habilita la autenticación de desafío y respuesta de Windows NT (NTLM). Si este protocolo está disponible, se detectará y se utilizará en el momento de la ejecución sin ninguna configuración adicional.

Importante:

La compatibilidad con NTLM requiere las bibliotecas OpenSSL 1.1.1d y libcrypto.so. Instale las bibliotecas en el dispositivo del usuario. Estas bibliotecas se incluyen a menudo en las distribuciones de Linux. También puede descargarlas desde http://www.openssl.org/.

Secure Web Gateway y SSL

Puede integrar la aplicación Citrix Workspace con los servicios Citrix Secure Web Gateway o servicio de Traspaso SSL. La aplicación Citrix Workspace admite el protocolo TLS. TLS (Transport Layer Security) es la versión estándar más reciente del protocolo SSL. La organización Internet Engineering Taskforce (IETF) le cambió el nombre a TLS al asumir la responsabilidad del desarrollo de SSL como un estándar abierto. TLS protege las comunicaciones de datos mediante la autenticación del servidor, el cifrado del flujo de datos y la comprobación de la integridad de los mensajes. Algunas organizaciones, entre las que se encuentran organizaciones del gobierno de los EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones también pueden exigir el uso de cifrado validado, como FIPS 140 (Estándar federal de procesamiento de información). FIPS 140 es un estándar para cifrado.

Secure Web Gateway

Puede usar Citrix Secure Web Gateway en modo normal o modo de traspaso para proporcionar un canal de comunicaciones seguro entre la aplicación Citrix Workspace y el servidor. Si utiliza Secure Web Gateway en modo normal, la aplicación Citrix Workspace no requiere ninguna configuración.

Si se instala Citrix Secure Web Gateway Proxy en un servidor de una red segura, se puede utilizar Citrix Secure Web Gateway Proxy en modo de traspaso (Relay). Si se utiliza el modo de traspaso, el servidor de Citrix Secure Web Gateway funciona como un proxy y es necesario configurar la aplicación Citrix Workspace para que use lo siguiente:

• El nombre de dominio completo (FQDN) del servidor de Citrix Secure Web Gateway.
• El número de puerto del servidor de Citrix Secure Web Gateway.

Nota:

La versión 2.0 de Citrix Secure Web Gateway no ofrece el modo de traspaso.

El nombre de dominio completo (FQDN) debe tener los siguientes tres componentes, consecutivamente:

• Nombre de host
• Dominio intermedio
• Dominio superior

Por ejemplo: mi_equipo.mi_empresa.com es un nombre de dominio completo porque contiene el nombre de host (mi_equipo), un dominio intermedio (mi_empresa) y un dominio superior (com). Por lo general, la combinación de nombre de dominio intermedio y dominio superior (mi_empresa.com) se conoce como nombre de dominio.

Traspaso SSL

De forma predeterminada, el Traspaso SSL Citrix utiliza el puerto TCP 443 en el servidor de Citrix Virtual Apps and Desktops o Citrix DaaS para las comunicaciones protegidas con TLS. Cuando el Traspaso SSL recibe una conexión TLS, descifra los datos antes de redirigirlos al servidor.

Si configuró el Traspaso SSL para un puerto de escucha distinto a 443, debe especificar en la aplicación Citrix Workspace ese número de puerto de escucha no estándar.

Puede utilizar el Traspaso SSL Citrix para proteger las comunicaciones:

• Entre un dispositivo de usuario habilitado con TLS y un servidor

Para obtener más información sobre la configuración y el uso del Traspaso SSL para proteger la instalación, consulte la documentación de Citrix Virtual Apps.

TLS

Antes, la versión mínima de TLS admitida era 1.0, y la versión máxima de TLS admitida era 1.2. A partir de la versión 2203, la versión máxima de TLS admitida es 1.3.

Se puede controlar las versiones del protocolo TLS que se pueden negociar si agrega las siguientes opciones de configuración en la sección [WFClient]:

• MinimumTLS=1.1
• MaximumTLS=1.3

Estos son los valores predeterminados implementados en el código. No obstante, puede ajustarlos según sea necesario.

Notas:

• Estos valores se leen en el momento de iniciar los programas. Si los cambia después de haber iniciado self-service o storebrowse, debe escribir: killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

• La aplicación Citrix Workspace para Linux no permite usar el protocolo SSLv3.

• TLS 1.0/1.1 solo funciona con la versión anterior de VDI o Citrix Gateway que los admitan.

Para seleccionar el conjunto de cifrado, agregue la siguiente opción de configuración en la sección [WFClient]:

• SSLCiphers=GOV

Este es el valor predeterminado. Otros valores reconocidos son COM y ALL.

Nota:

Al igual que con la configuración de la versión de TLS, si cambia esta configuración después de haber iniciado self-service o storebrowse, debe escribir: killall AuthManagerDaemon ServiceRecord selfservice storebrowse

Compatibilidad de TCP IPv6 con TLS [Technical Preview]

Anteriormente, las conexiones TLS entre la aplicación Citrix Workspace para Linux y Virtual Delivery Agents (VDA) solo se admitían a través de redes IPv4.

A partir de la versión 2305, la aplicación Citrix Workspace admite conexiones TLS a través de IPv4 e IPv6.

Esta función está habilitada de manera predeterminada.

Cuando se utiliza una conexión directa TLS a través de IPv6 con VDA en la aplicación Citrix Workspace para Linux, no se requiere ninguna configuración adicional.

Puede enviar sus comentarios sobre esta Technical Preview a través del formulario de Podio.

Nota:

Las Technical Previews están disponibles para que los clientes las prueben en sus entornos de producción limitados o en entornos que no son de producción, y para darles la oportunidad de compartir comentarios. Citrix no acepta casos de asistencia para funciones en Technical Preview, pero agradece comentarios para mejorarlas. Citrix puede o no actuar a partir de los comentarios en función de su gravedad e importancia. No es aconsejable implementar compilaciones beta en entornos de producción.

Actualización de CryptoKit

La versión 14.2 de CryptoKit está integrada en la versión 1.1.1d de OpenSSL.

Actualización criptográfica

Esta función es un cambio importante en el protocolo de comunicación segura. Los conjuntos de cifrado con el prefijo TLS_RSA_ que no ofrecen confidencialidad directa se consideran débiles.

Los conjuntos de cifrado TLS_RSA_ se han eliminado por completo. En su lugar, se admiten los conjuntos de cifrado avanzados TLS_ECDHE_RSA_.

Si su entorno no está configurado con los conjuntos de cifrado TLS_ECDHE_RSA_, los inicios de sesión clientes no se admiten debido a cifrados débiles. Para la autenticación de clientes, se admiten claves RSA de 1536 bits.

Se admiten los siguientes conjuntos de cifrado avanzado:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

DTLS v1.0 admite los siguientes conjuntos de cifrado:

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_EMPTY_RENEGOTIATION_INFO_SCSV

DTLS v1.2 admite los siguientes conjuntos de cifrado:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_EMPTY_RENEGOTIATION_INFO_SCSV

TLS 1.3 admite los siguientes conjuntos de cifrado:

• TLS_AES_128_GCM_SHA256 (0x1301)
• TLS_AES_256_GCM_SHA384 (0x1302)

Nota:

A partir de la versión 1903 y posteriores, DTLS se admite en Citrix Gateway 12.1 y versiones posteriores. Para obtener información sobre los conjuntos de cifrado compatibles con DTLS para Citrix Gateway, consulte Compatibilidad con el protocolo DTLS.

Conjuntos de cifrado

Para habilitar diferentes conjuntos de cifrado, cambie el valor del parámetro SSLCiphers a ALL, COM o GOV. De forma predeterminada, la opción está establecida en ALL en el archivo All_Regions.ini del directorio $ICAROOT/config.

ALL, GOV y COM proporcionan los siguientes conjuntos de conjuntos de cifrado:

• ALL
  • Están disponibles los 3 conjuntos de cifrado.
• GOV
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
• COM
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Para obtener información sobre la solución de problemas, consulte Conjuntos de cifrado.

Los conjuntos de cifrado con el prefijo TLS_RSA_ no ofrecen confidencialidad directa. Estos conjuntos de cifrado ya son obsoletos en la industria. Sin embargo, por compatibilidad con versiones anteriores de Citrix Virtual Apps and Desktops o Citrix DaaS, la aplicación Citrix Workspace dispone de una opción para utilizar estos conjuntos de cifrado.

Para una mayor seguridad, establezca el indicador Enable\_TLS\_RSA\_ en False.

A continuación, dispone de la lista de conjuntos de cifrado retirados:

• TLS_RSA_AES256_GCM_SHA384
• TLS_RSA_AES128_GCM_SHA256
• TLS_RSA_AES256_CBC_SHA256
• TLS_RSA_AES256_CBC_SHA
• TLS_RSA_AES128_CBC_SHA
• TLS_RSA_3DES_CBC_EDE_SHA
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_WITH_RC4_128_SHA

Nota:

Los dos últimos conjuntos de cifrado utilizan el algoritmo RC4 y se han retirado porque no son seguros. El conjunto de cifrado TLS_RSA_3DES_CBC_EDE_SHA también se puede considerar retirado. Puede usar estos indicadores para aplicar todos estos elementos retirados.

Para obtener información sobre la configuración de DTLS 1.2, consulte la sección Transporte adaptable de la documentación de Citrix Virtual Apps and Desktops.

Requisito previo:

Si utiliza la versión 1901 o una anterior, siga estos pasos:

Si .ICAClient ya está presente en el directorio de inicio del usuario actual:

• Elimine el archivo All\_Regions.ini.

O bien:

• Para conservar el archivo AllRegions.ini, agregue las siguientes líneas al final de la sección [Network\SSL]:
  • Enable_RC4-MD5=
  • Enable_RC4_128_SHA=
  • Enable_TLS_RSA_=

Si la carpeta .ICAClient no está presente en la carpeta particular del usuario actual, indica una nueva instalación de la aplicación Citrix Workspace. En ese caso, se conserva la configuración predeterminada para la funcionalidad.

En la tabla siguiente se enumeran los conjuntos de cifrado en cada grupo: Tabla 1: Tabla de compatibilidad de los conjuntos de cifrado

Nota:

Todos los conjuntos de cifrado anteriores cumplen con FIPS y SP800-52. Los dos primeros están permitidos solo para conexiones (D)TLS1.2. Consulte Tabla 1: Tabla de compatibilidad de los conjuntos de cifrado para obtener una representación completa de la compatibilidad con los conjuntos de cifrado.

Certificados

Cuando utiliza un almacén con autenticación SAML (con el protocolo AUTHv3), aparece el siguiente mensaje de error: “Unacceptable TLS Certificate”.

El problema se produce cuando se utiliza la aplicación Citrix Workspace 1906 y versiones posteriores. Para obtener instrucciones sobre la solución de problemas, consulte los siguientes artículos en Knowledge Center.

• CTX260336
• CTX231524
• CTX203362

Si el servidor de StoreFront no consigue proporcionar los certificados intermedios que coincidan con el certificado que está utilizando, o si instala certificados intermedios para admitir usuarios de tarjetas inteligentes, siga estas instrucciones antes de agregar un almacén de StoreFront:

1. Obtenga uno o varios certificados intermedios por separado en formato PEM.

   Sugerencia:

   Si no puede encontrar un certificado en formato PEM, use la utilidad openssl para convertir un certificado en formato CRT a un archivo PEM.

2. Como el usuario que instala el paquete (normalmente root):

   1. Copie uno o varios archivos a $ICAROOT/keystore/intcerts.

   2. Ejecute el siguiente comando como usuario que instaló el paquete:

      $ICAROOT/util/ctx_rehash

Si autentica un certificado de servidor emitido por una entidad de certificación, pero que no goza de la confianza de los dispositivos de usuario, siga estas instrucciones antes de agregar un almacén de StoreFront:

1. Obtenga el certificado raíz en formato PEM. Sugerencia: Si no puede encontrar un certificado en este formato, use la utilidad openssl para convertir un certificado en formato CRT a un archivo PEM.
2. Mediante la cuenta de usuario con la que instaló el paquete (normalmente root):

   1. Copie el archivo en $ICAROOT/keystore/cacerts.

   2. Ejecute este comando:

      $ICAROOT/util/ctx_rehash

Mejora del protocolo HDX Enlightened Data Transport (EDT)

En versiones anteriores, al establecer HDXoverUDP en Preferred, el transporte de datos por EDT se utiliza como transporte principal, y TCP queda como opción de emergencia.

A partir de la versión 2103 de la aplicación Citrix Workspace, cuando la fiabilidad de la sesión está habilitada, se intentan EDT y TCP en paralelo en los siguientes casos::

• Conexión inicial
• Reconexión de fiabilidad de la sesión
• Reconexión automática de clientes

Esta mejora reduce el tiempo de conexión cuando se prefiere EDT. No obstante, el transporte UDP subyacente necesario no está disponible y se debe utilizar TCP.

De forma predeterminada, después de recurrir a TCP, el transporte adaptable vuelve a intentar utilizar EDT cada cinco minutos.

Detección de MTU en Enlightened Data Transport (EDT)

La aplicación Citrix Workspace versión 2109 permite la detección de unidades de transmisión máxima (MTU) en Enlightened Data Transport (EDT). Aumenta la fiabilidad y la compatibilidad del protocolo EDT y mejora la experiencia de usuario.

Para obtener más información, consulte la sección Detección de MTU en EDT de la documentación de Citrix Virtual Apps and Desktops.

Compatibilidad con IPv6 de EDT

A partir de la versión 2203 de la aplicación Citrix Workspace, se admite EDT IPv6.

Nota:

IPv6 es compatible con TCP y EDT. Sin embargo, IPv6 no se admite en TCP por TLS y en EDT por DTLS.