Protección

Para proteger la comunicación entre el sitio y la aplicación Citrix Workspace, se pueden integrar las conexiones de la aplicación Citrix Workspace a través de tecnologías de seguridad como las siguientes:

  • Citrix Gateway: Para obtener información, consulte los temas de esta sección, además de la documentación de Citrix Gateway y StoreFront.

Nota:

Citrix recomienda utilizar Citrix Gateway entre los servidores StoreFront y los dispositivos de los usuarios.

  • Un firewall: Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza la aplicación Citrix Workspace a través de un firewall que asigna la dirección IP de red interna del servidor a una dirección de Internet externa (es decir, traducción de direcciones de red, NAT), configure la dirección externa.

  • Servidor de confianza.

  • Solamente para implementaciones de Citrix Virtual Apps o la Interfaz Web (no se aplica a XenDesktop 7): un servidor proxy SOCKS o un servidor proxy seguro (también conocido como servidor proxy de seguridad, servidor proxy HTTPS o servidor proxy de canalización TLS). Se pueden utilizar servidores proxy para limitar el acceso hacia y desde la red, y para gestionar las conexiones entre la aplicación Citrix Workspace y los servidores. La aplicación Citrix Workspace respalda protocolos de proxy seguro y SOCKS.

  • Sólo para implementaciones de Citrix Virtual Apps o Interfaz Web: Soluciones Citrix Secure Web Gateway o Traspaso SSL con protocolos TLS (Transport Layer Security). Se respaldan las versiones de TLS de 1.0 a 1.2.

Citrix Gateway

Citrix Gateway (antes llamado Access Gateway) protege las conexiones a las tiendas de StoreFront, y permite a los administradores un control detallado del acceso de los usuarios a los escritorios y las aplicaciones.

Para conectarse a escritorios y aplicaciones a través de Citrix Gateway:

  1. Especifique la dirección URL de Citrix Gateway que le suministre el administrador. Puede hacerlo mediante alguno de estos procedimientos:

    • La primera vez que use la interfaz de usuario de autoservicio, se le solicitará que introduzca la dirección URL en el cuadro de diálogo Agregar cuenta
    • Cuando utilice más tarde la interfaz de usuario de autoservicio, puede introducir la URL en Preferencias > Cuentas > Agregar
    • Si desea establecer una conexión mediante el comando storebrowse, escriba la dirección URL en la línea de comandos

    La dirección URL especifica la puerta de enlace y, opcionalmente, una tienda concreta:

    • Para conectar con el primer almacén que encuentre la aplicación Citrix Workspace, use una URL con, por ejemplo, el formato: https://gateway.company.com.
    • Para conectar con un almacén específico, use una URL con, por ejemplo, el formato: https://gateway.company.com?<storename>. Esta dirección URL dinámica no tiene el formato estándar; no incluya = (el signo igual) en la URL. Si quiere establecer una conexión a una tienda concreta mediante storebrowse, puede que se necesiten comillas alrededor de la dirección URL en el comando storebrowse.
  2. Cuando se le solicite, conéctese a la tienda (a través de la puerta de enlace) con su nombre de usuario, contraseña y token de seguridad. Para obtener más información sobre este paso, consulte la documentación de Citrix Gateway.

    Una vez completado el proceso de autenticación, se muestran los escritorios y las aplicaciones.

Servidor proxy

Los servidores proxy se utilizan para limitar el acceso hacia la red y desde ella, y para gestionar conexiones entre la aplicación Citrix Workspace y los entornos de Citrix Virtual Apps o Citrix Virtual Desktops. La aplicación Citrix Workspace admite el protocolo SOCKS, junto con Citrix Secure Web Gateway y Traspaso SSL Citrix, el protocolo de proxy seguro y la autenticación de desafío y respuesta de Windows NT (NTLM).

La lista de tipos de proxy respaldados está restringida por el contenido de Trusted_Regions.ini y Untrusted_Regions.ini a los tipos Auto (automático), None (ninguno) y Wpad. Si usa otros tipos (SOCKS, Secure o Script), modifique esos archivos para agregarlos a la lista de permitidos.

Nota:

Para garantizar una conexión segura, habilite TLS.

Servidor proxy seguro

La configuración de conexiones para utilizar el protocolo de proxy seguro también permite respaldo para la autenticación de desafío y respuesta de Windows NT (NTLM). Si este protocolo está disponible, se detectará y se utilizará en el momento de la ejecución sin ninguna configuración adicional.

Importante:

El respaldo para NTLM requiere que la biblioteca de OpenSSL, libcrypto.so, esté instalada en el dispositivo del usuario. Esta biblioteca se suele incluir en las distribuciones de Linux, pero puede descargarse desde http://www.openssl.org/, si es necesario, en una ventana nueva.

Secure Web Gateway y SSL

Puede integrar la aplicación Citrix Workspace con los servicios Citrix Secure Web Gateway o servicio de Traspaso SSL. La aplicación Citrix Workspace admite el protocolos TLS. TLS (Transport Layer Security) es la versión estándar más reciente del protocolo SSL. La organización Internet Engineering Taskforce (IETF) le cambió el nombre a TLS al asumir la responsabilidad del desarrollo de SSL como un estándar abierto. TLS protege las comunicaciones de datos mediante la autenticación del servidor, el cifrado del flujo de datos y la comprobación de la integridad de los mensajes. Algunas organizaciones, entre las que se encuentran organizaciones del gobierno de los EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones también pueden exigir el uso de cifrado validado, como FIPS 140 (Estándar federal de procesamiento de información). FIPS 140 es un estándar para cifrado.

Secure Web Gateway

Es posible usar Citrix Secure Web Gateway en modo Normal o en modo Relay (Traspaso) para proporcionar un canal de comunicaciones seguro entre la aplicación Citrix Workspace y el servidor. No es necesario configurar la aplicación Citrix Workspace si se utiliza Citrix Secure Web Gateway en el modo Normal y los usuarios se conectan a través de la Interfaz Web.

La aplicación Citrix Workspace usa parámetros que se configuran de forma remota en el servidor que ejecuta la Interfaz Web para conectarse a los servidores que ejecutan Citrix Secure Web Gateway. Para obtener más información sobre la configuración de los parámetros de servidores proxy para la aplicación Citrix Workspace, consulte la documentación de la Interfaz Web.

Si se instala Citrix Secure Web Gateway Proxy en un servidor de una red segura, se puede utilizar Citrix Secure Web Gateway Proxy en modo de traspaso (Relay). Para obtener más información, consulte la documentación de Citrix Virtual Apps (Citrix Secure Web Gateway).

Si se utiliza el modo de traspaso, el servidor Citrix Secure Web Gateway funciona como un proxy y es necesario configurar la aplicación Citrix Workspace para que use lo siguiente:

  • El nombre de dominio completo (FQDN) del servidor Citrix Secure Web Gateway.
  • El número de puerto del servidor Citrix Secure Web Gateway. El modo de traspaso no recibe respaldo en la versión 2.0 de Citrix Secure Web Gateway.

El nombre de dominio completo (FQDN) debe tener los siguientes tres componentes, consecutivamente:

  • Nombre de host
  • Dominio intermedio
  • Dominio superior

Por ejemplo: mi_equipo.mi_empresa.com es un nombre de dominio completo porque contiene el nombre de host (mi_equipo), un dominio intermedio (mi_empresa) y un dominio superior (com). Por lo general, la combinación de nombre de dominio intermedio y dominio superior (mi_empresa.com) se conoce como nombre de dominio.

Traspaso SSL

De forma predeterminada, el Traspaso SSL Citrix utiliza el puerto TCP 443 en el servidor Citrix Virtual Appspara las comunicaciones protegidas con SSL/TLS. Cuando el Traspaso SSL recibe una conexión TLS, descifra los datos antes de redirigirlos al servidor.

Si configuró el Traspaso SSL para un puerto de escucha distinto a 443, debe especificar en la aplicación Citrix Workspace ese número de puerto de escucha no estándar.

Puede utilizar el Traspaso SSL Citrix para proteger las comunicaciones:

  • Entre un dispositivo de usuario habilitado con TLS y un servidor
  • Con la Interfaz Web, entre el servidor Citrix Virtual Apps y el servidor Web

Para obtener más información sobre la configuración y el uso del Traspaso SSL para proteger la instalación, consulte la documentación de Citrix Virtual Apps. Para obtener más información sobre la configuración de la Interfaz Web para utilizar el cifrado TLS, consulte la documentación de la Interfaz Web.

TLS

Se puede controlar las versiones del protocolo TLS que se pueden negociar añadiendo las siguientes opciones de configuración en la sección [WFClient]:

  • MinimumTLS=1.0
  • MaximumTLS=1.2

Estos son los valores predeterminados implementados en el código. No obstante, puede ajustarlos según sea necesario.

Nota 1:

  • Estos valores se leen en el momento de iniciar los programas. Si los cambia después de haber iniciado selfservice o storebrowse, debe escribir: killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

  • La aplicación Citrix Workspace para Linux no permite usar el protocolo SSLv3.

La aplicación Citrix Workspace para Linux respalda DTLS 1.0 y TLS 1.0, 1.1 y 1.2, con los conjuntos de cifrado siguientes:

  • RSA + AES256-SHA (RSA para el intercambio de claves, AES 256 para el cifrado y SHA-1 para digest)
  • RSA+AES256-SHA256 (RSA para el intercambio de claves, AES 256 para el cifrado y SHA-256 para digest)
  • RSA+AES128-SHA (RSA para el intercambio de claves, AES 128 para el cifrado y SHA-1 para digest)
  • RSA+DES-CBC3-SHA (RSA para el intercambio de claves, Triple-DES para el cifrado y SHA-1 para digest)
  • RSA+RC4128-MD5 (RSA para el intercambio de claves, RC4-128 para el cifrado y MD5 para digest)
  • RSA+RC4128-SHA (RSA para el intercambio de claves, RC4 128 para el cifrado, SHA-1 para digest)
  • RSA+AES128_GCM+SHA256 (RSA para el intercambio de claves, AES 128 para el cifrado, SHA-256 para digest)
  • RSA+AES256_GCM+SHA384 (RSA para el intercambio de claves, AES 256 para el cifrado, SHA-384 para digest)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Curva elíptica Diffie-Hellman para el intercambio de claves, RSA para la autenticación, AES 256 y GCM SHA 384 para digest)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (Curva elíptica Diffie–Hellman para el intercambio de claves, RSA para la autenticación, AES 256 y CBC SHA 384 para digest)
  • TLS_RSA_AES256_CBC_SHA256 (RSA para la autenticación, AES 256 y CBC SHA 256 para digest)

El tamaño de clave de cifrado efectivo es según se define en cada conjunto de cifrado SSL/TLS estándar, indicado anteriormente:

  • Algoritmo RC4: 128 bits (cifrado de flujo)
  • Algoritmo Triple DES: 3 x 64 bits (tamaño efectivo: 3 x 56 = 168) (64 bits de tamaño de bloque)
  • Algoritmo AES: 128 bits o 256 bits (tamaño de bloque 128)
  • Para la autenticación y el intercambio de claves RSA, los tamaños de clave respaldados (módulo) van de 1024 bits a 4096 bits.
  • Para el intercambio de claves ECDH, las curvas elípticas compatibles son NIST P-256 y NIST P-384 (longitudes de clave de 256 y 384 bits).

Para seleccionar el conjunto de cifrado, agregue la siguiente opción de configuración en la sección [WFClient]:

  • SSLCiphers=GOV

Este es el valor predeterminado. Otros valores reconocidos son COM y ALL.

Nota:

Al igual que con la configuración de la versión de TLS, si lo cambia después de haber iniciado selfservice o storebrowse, debe escribir: killall AuthManagerDaemon ServiceRecord selfservice storebrowse

Actualización criptográfica

Esta característica es un cambio importante en el protocolo de comunicación segura. Los conjuntos de cifrado con el prefijo TLS_RSA_ que no ofrecen confidencialidad directa se consideran débiles. Estos conjuntos de cifrado quedaron se retiraron de la versión 13.10 de Citrix Receiver con una opción de compatibilidad con versiones anteriores.

Los conjuntos de cifrado TLS_RSA_ se han eliminado por completo. En su lugar, se admiten los conjuntos de cifrado avanzados TLS_ECDHE_RSA_. Si su entorno no está configurado con los conjuntos de cifrado TLS_ECDHE_RSA_, los inicios de sesión clientes no se admiten debido a cifrados débiles. Para la autenticación de clientes, se admiten claves RSA de 1536 bits.

Se admiten los siguientes conjuntos de cifrado avanzado:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Conjuntos de cifrado

Para habilitar diferentes conjuntos de cifrado, cambie el valor del parámetro SSLCiphers a ALL, COM o GOV. De forma predeterminada, la opción se establece en ALL (Todo) en el archivo All_Regions.ini del directorio $iCaroot/config.

ALL, GOV y COM proporcionan los siguientes conjuntos de conjuntos de cifrado:

  • TODO
    • los 3 cifrados se admiten.
  • GOB
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • COM
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Para obtener información sobre la solución de problemas, consulte Conjuntos de cifrado.

Conjuntos de cifrado obsoletos

Importante:

A partir de la versión 1903, Citrix solo admitirá los siguientes tres conjuntos de cifrado:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 – GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 – GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – COM/ALL

Este apartado, Conjuntos de cifrado obsoletos, se aplica sólo a la versión 1901 y a versiones anteriores. A partir de la versión 1903, solo se admiten los conjuntos avanzados TLS_ECDHE_RSA_cipher. Para obtener más información, consulte Actualización criptográfica. Esta sección se incluye únicamente como referencia, solo para los clientes de las versiones 1901 y anteriores. Los conjuntos de cifrado mencionados a continuación se han retirado sin compatibilidad con versiones anteriores.

Los conjuntos de cifrado con el prefijo TLS_RSA_ no ofrecen confidencialidad directa. Por lo general, estos conjuntos de cifrado se consideran obsoletos en el sector de las TIC. Sin embargo, por compatibilidad con versiones anteriores de Citrix Virtual Apps and Desktops, la aplicación Citrix Workspace para Linux dispone de una opción para utilizar estos conjuntos de cifrado.

Los indicadores se han creado para permitir el uso de conjuntos de cifrado obsoletos. En la versión de la aplicación Citrix Workspace 1808 para Linux, estos indicadores están habilitados de forma predeterminada, pero no se aplica la obsolescencia de estos conjuntos de cifrado mediante los algoritmos AES o 3DES de forma predeterminada. Sin embargo, puede modificar y usar estos indicadores para aplicar la obsolescencia más estrictamente.

Para mayor seguridad, establezca el indicador Enable_TLS_RSA_ en “False”.

A continuación, dispone de la lista de conjuntos de cifrado retirados:

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Nota:

Los dos últimos conjuntos de cifrado utilizan el algoritmo RC4 y están obsoletos porque no son seguros. El conjunto de cifrado TLS_RSA_3DES_CBC_EDE_SHA también se puede considerar retirado. Puede usar estos indicadores para aplicar todos estos elementos obsoletos.

Para obtener información sobre la configuración de DTLS v1.2, consulte Transporte adaptable.

Requisito previo:

Si está utilizando la versión 1901 y versiones anteriores, para configurar esta característica en el cliente, realice el siguiente paso:

Si .ICAClient ya está presente en la directorio de inicio del usuario actual:

  • Elimine el archivo All_Regions.ini

O

  • Para conservar el archivo AllRegions.ini, agregue las siguientes líneas al final de la sección [Network\SSL]:
    • Enable_RC4-MD5=
    • Enable_RC4_128_SHA=
    • Enable_TLS_RSA_=

Si la carpeta .ICAClient no está presente en la carpeta particular del usuario actual, entonces es que indica una nueva instalación de la aplicación Citrix Workspace. En ese caso, se conserva la configuración predeterminada para la funcionalidad.

Configurar conjuntos de cifrado retirados

Para configurar conjuntos de cifrado obsoletos:

  1. Abra el archivo $ICAROOT/config/All_Regions.ini.
  2. En la sección Network\SSL, use los siguientes tres indicadores para habilitar o inhabilitar los conjuntos de cifrado obsoletos:

    • Enable_TLS_RSA_: De forma predeterminada, el indicador Enable_TLS_RSA_ está establecido en “True”. Establezca el indicador Enable_TLS_RSA_ en “True” para ver los siguientes conjuntos de cifrado:

      • TLS_RSA_AES256_GCM_SHA384
      • TLS_RSA_AES128_GCM_SHA256
      • TLS_RSA_AES256_CBC_SHA256
      • TLS_RSA_AES256_CBC_SHA
      • TLS_RSA_AES128_CBC_SHA
      • TLS_RSA_3DES_CBC_EDE_SHA

    Importante:

    Establezca el indicador Enable_TLS_RSA_ en “True” para usar los otros dos conjuntos de cifrado: Enable_RC4-MD5 y Enable_RC4_128_SHA.

    • Enable_RC4-MD5: De forma predeterminada, el indicador Enable_RC4-MD5 está establecido en False. Establezca este indicador en “True” para habilitar el conjunto de cifrado RC4-MD5.
    • Enable_RC4_128_SHA: De forma predeterminada, el indicador Enable_RC4_128_SHA está establecido en False. Establezca este indicador en “True” para habilitar el conjunto de cifrado RC4_128_SHA.
  3. Guarde el archivo.

En la tabla siguiente se enumeran los conjuntos de cifrado en cada grupo: Tabla 1: Matriz de respaldo de conjunto de cifrado

Imagen de la tabla que muestra la matriz de compatibilidad de conjuntos de cifrado

Nota:

Todos los conjuntos de cifrado anteriores cumplen con FIPS y SP800-52. Los dos primeros están permitidos solo para conexiones (D)TLS1.2. Consulte Tabla 1: Matriz de respaldo a conjuntos de cifrado para obtener una representación completa de la compatibilidad con los conjuntos de cifrado.