Guía de prueba de concepto: Redirección de URL a Secure Browser con Citrix ADC en Azure

Información general

Estos son los pasos de configuración para configurar un ADC, configurar SSL Forward Proxy e Intercepción SSL mediante la plantilla de mercado de Citrix ADC más reciente. La capacidad de redirección URL a explorador seguro del ADC permite a los administradores definir categorías específicas de sitios web que se redirigirán del explorador local a Secure Browser automáticamente. Citrix ADC actúa como un proxy intermedio para realizar la interceptación entre la navegación local e Internet, logrando así el aislamiento web y protegiendo la red corporativa. Esta capacidad aumenta la seguridad sin comprometer la experiencia del usuario.

Arquitectura Conceptual

Redirección URL a Secure Browser Service Architecture

Ámbito

Esta guía de prueba de concepto describe lo siguiente:

  1. Obtener una cuenta de prueba de explorador seguro
  2. Configurar ADC en Azure
  3. Configurar el dispositivo Citrix ADC como proxy
  4. Configurar la intercepción SSL
  5. Configurar directivas y acciones de reescritura

Pasos de implementación

Sección 1: Obtener una cuenta de prueba de explorador seguro

Documento de referencia para Secure Browser Service

Solicitar una prueba del explorador seguro

  1. Navegue a su cuenta de Citrix Cloud e introduzca el nombre de usuario y la contraseña

  2. Haga clic en Iniciar sesión. Si su cuenta gestiona más de un cliente, seleccione el adecuado

    Iniciar sesión en Citrix Cloud

  3. Haga doble clic en el icono Secure Browser.

    Mosaico seguro del explorador

  4. Si sabes quién es su equipo de cuentas, ponte en contacto con ellos para obtener la aprobación de la prueba. Si no estás seguro de quién es su equipo de cuentas, continúa con el siguiente paso.

  5. Haga clic en Solicitar una llamada

    Solicitar una llamada

  6. Introduzca sus datos y en la sección Comentarios especifique “Prueba del servicio del explorador seguro”.

  7. Haga clic en Enviar.

    Solicitar un formulario de llamada

    Nota:

    Citrix Sales se pondrá en contacto con usted para darle acceso al servicio. Esto no es inmediato, un representante de ventas de Citrix contactará

  8. Una vez que haya aprobado la prueba de Explorador seguro, consulte Publicar un explorador seguro del documento de Citrix para publicar una aplicación Explorador seguro.

Habilitar parámetros de URL

  1. En su suscripción a Citrix Cloud, haga doble clic en el icono Explorador seguro

  2. En el explorador publicado, denominado “explorador” en este ejemplo, haga clic en los tres puntos y seleccione Directivas

    aplicación de explorador publicada

  3. Habilitar la directiva Parámetros de URL en el explorador publicado

    Activar directiva Parámetros de URL

Sección 2: Configurar ADC en Azure

El ADC se puede configurar en cualquier nube de elección. En este ejemplo, Azure es nuestra nube de elección.

Configurar una instancia de ADC

  1. Desplácese hasta Todos los recursos y haga clic en el botón + Agregar, busque Citrix ADC

  2. Seleccionar plantilla de Citrix ADC

  3. Seleccione el plan de software según sus requisitos (en este ejemplo Traiga su propia licencia)

  4. Haga clic en Crear

    Configurar ADC en Azure

Configurar tarjeta NIC

  1. Vaya a Todos los recursos y seleccione la tarjeta NIC para la instancia de ADC

  2. Seleccione Configuraciones IP, anote la dirección de administración de ADC

  3. Habilite la configuración de reenvío de IP, guarde los cambios.

    Configurar NIC para ADC

Configurar IP virtual

  1. Haga clic en Agregar, defina virtualip como el nombre de la nueva configuración.

  2. Seleccione Estática y agregue una nueva dirección IP después de la dirección de administración

  3. Habilitar la opción Dirección pública y crear una nueva dirección IP pública

  4. Guardar los cambios

    Configurar IP virtual

Configurar el FQDN en el cliente

  1. Desplácese hasta el recurso Dirección IP pública creado para la virtualip configuración

  2. Haga clic en Configuracióny agregue una etiqueta DNS (en este ejemplo, urlredirection.eastus.cloudapp.azure.com)

    Establecer FQDN

Configurar reglas de red

  1. Agregue las siguientes reglas de red

    Reglas de red

    Nota:

    Puede optar por cerrar los puertos 22 y 443 una vez finalizada la configuración, ya que esos puertos solo son necesarios para iniciar sesión en la consola de administración con fines de configuración.

  2. En este punto, la instancia de ADC en Azure está configurada

Sección 3: Configurar el dispositivo Citrix ADC como proxy

Configure el ADC como proxy para redirigir el tráfico desde el explorador cliente a Internet.

Iniciar sesión en la consola de administración de ADC

  1. Vaya a la consola de administración de Citrix ADC introduciendo la dirección IP pública de la instancia en la barra de búsqueda del explorador

    Nota:

    Utilice la dirección IP de la máquina aprovisionada en los pasos anteriores, en este ejemplo https://40.88.150.164/

  2. Inicie sesión en la consola introduciendo el nombre de usuario y la contraseña que configuró en los pasos anteriores

    Iniciar sesión en la consola de administración

  3. En la pantalla de configuración inicial, haga clic en Continuar

Cargar las licencias

  1. Vaya a Sistema > Licencias > Administrar licencias

  2. Cargue las licencias necesarias para ADC.

    Nota:

    Las licencias que aportes deben admitir las funciones resaltadas en los pasos 11 y 13 en Configurar funciones básicas y configurar funciones avanzadas (por ejemplo, CNS_v3000_server_plt_retail.lic y cns_webf_sserver_retail.lic)

    Administrar licencias

  3. Reinicie el servidor después de cargar ambas licencias.

  4. Después de reiniciar, vuelva a iniciar sesión en la administración

  5. Vaya a Sistema > Configuración > Configurar Modos

  6. Solo se deben habilitar dos opciones de reenvío basado en Mac y Descubrimiento MTU de ruta

    Configurar Modos

    Configurar Modos

  7. Vaya a Sistema > Configuración > Configurar funciones básicas

    Configurar funciones básicas

  8. Seleccione: SSL Offloading, Load BalancingRewrite, Authentication, Authorization, and Auditing, Content Switching, y Integrated Caching

    Configurar funciones básicas

  9. Vaya a Sistema > Configuración > Configurar funciones avanzadas

    Configurar funciones avanzadas

  10. Seleccione: Cache Redirection, IPv6 Protocol Translation, AppFlow, Reputation, Forward Proxy, Content Inspection, Responder, URL Filtering, y SSL Interception

    Configurar funciones avanzadas

Configurar el servidor NTP

  1. Vaya a Sistema > Servidores NTP > Agregar

    Configurar el servidor NTP

  2. Crear un servidor, por ejemplo pool.ntp.org

    Configurar el servidor NTP

  3. Habilitar NTP cuando se le solicite y configure el servidor como habilitado

    Configurar servicio NTP

  4. Guardar la configuración desde la acción de guardar el portal de administración

    Guardar configuración

  5. Abra la sesión SSH a la dirección de administración de ADC, inicie sesión con las credenciales que utilizó mientras aprovisionaba el ADC desde Azure

Configurar perfil TCP y vServer

  1. Obtener los virtualip pasos de la Sección 2 y entrar en el comando (en este ejemplo 10.1.0.5)

  2. Ejecute los siguientes comandos con la sslproxy dirección, por ejemplo virtualip:

  3. Para agregar perfil TCP:

    add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
    <!--NeedCopy-->
    
  4. Para agregar un servidor virtual

    add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
    
    bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
    
    add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
    
    set cs vserver sslproxy01 -netProfile proxy-netprofile01
    
    set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
    
    save ns config
    <!--NeedCopy-->
    
  5. Para cambiar la configuración de caché volver a la sesión de administración en el explorador

  6. Vaya a Optimización > Almacenamiento en caché integrado

  7. Vaya a Configuración > Cambiar configuración de caché

    Cambiar la configuración de caché

  8. Establezca el límite de uso de memoria250 MB y haga clic en Aceptar

    Límite de uso de memoria

Configurar el cliente para la redirección de URL

  1. En un cliente, por ejemplo Firefox

  2. Configure el proxy del explorador en virtualip, IP pública o FQDN: 8080 configurado en la Sección 2 (por ejemplo, urlredirection.eastus.cloudapp.azure.com:8080)

    Configurar proxy del explorador

  3. Ahora que tenemos un ADC configurado, pruebe cualquier conectividad del sitio web desde el explorador con el ADC actuando como proxy.

Sección 4: Configurar la intercepción SSL

La intercepción SSL utiliza una directiva que especifica el tráfico que interceptar, bloquear o permitir. Citrix recomienda configurar una directiva genérica para interceptar tráfico y directivas más específicas para omitir parte del tráfico.

Referencias:

Intercepción SSL

Categorías de URL

Ejemplo de configuración de vídeo

Crear una clave RSA

  1. Vaya a Gestión del tráfico > SSL > Archivos SSL > Claves

  2. Seleccione Crear clave RSA

    Crear clave RSA

  3. Seleccione el nombre del archivo de clave y el tamaño de clave requerido

    Crear clave RSA

  4. Una vez creada la clave, descargue el .key archivo para usarlo más tarde

    Crear clave RSA

Crear una solicitud de firma de certificados (CSR)

  1. Vaya a Administración de tráfico > SSL > Archivos SSL > CSR > Crear solicitud de firma de certificado (CSR)

    CSR

  2. Asigne un nombre al archivo de solicitud, por ejemplo semesec_req1.req

    Creación de RSC

  3. Haga clic en Nombre de archivo de clave > Aplicar el nombre del archivo de clave es el que se creó en el paso anterior, en este ejemplo smesec_key1.key

    Creación de RSC

  4. Después de seleccionar la Clave continúe rellenando los espacios en blanco necesarios: Nombre común, Nombre de la organización y Estado o provincia

  5. Haga clic en Crear

Crear un certificado

  1. Vaya a Gestión del tráfico > SSL > Archivos SSL > Certificados > Crear certificado

    Crear certificado

  2. Asigne un nombre al certificado y elija el archivo de solicitud de certificado (.req) y el nombre del archivo de clave (.key) creados en los pasos anteriores

    Crear certificado

  3. Haga clic en Crear

  4. Una vez creado el certificado, descargue el .cert archivo para su uso posterior

    Crear certificado

Crear directiva SSL INTERCEPT

  1. Vaya a Administración de tráfico > SSL > Directivas

  2. Haga clic en Agregar

    Crear directiva SSL

  3. Asigne un nombre a la directiva y seleccione la acción INTERCEPTAR

  4. Expresión para interceptar noticias:

    client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

  5. Haga clic en Crear

    Crear intercepción SSL

  6. Para enlazar la directiva Interceptar al servidor virtual, vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

    ! [SSL proxy01] (/en-us/tech-zone/learn/media/poc-guides_secure-browser-adc-integration_34.png)

  7. Seleccione el servidor virtual, en este ejemplo sslproxy01

  8. Seleccione agregar directivas SSL y haga clic en Sin enlace de directivas SSL

  9. Enlazar la directiva de interceptación:

    Directiva de interceptación de enlaces

Crear directiva de BYPASS SSL

  1. Vaya a Administración de tráfico > SSL > Directivas

  2. Haga clic en Agregar

    Crear directiva SSL

  3. Asigne un nombre a la directiva y seleccione la acción NOOP: No hay opción BYPASS, consulte el siguiente paso

  4. Expresión para omitir la directiva: CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

    ! [Crear directiva de omisión] (/en-us/tech-zone/learn/media/poc-guides_secure-browser-adc-integration_36.png)

  5. Vaya a Seguridad > Proxy de reenvío SSL > Directivas de intercepción SSL

    Directiva de omisión SSL

  6. Seleccione la directiva para editarla

  7. Cambiar acción de NOOP a BYPASS

  8. Haga clic en Aceptar.

    Directiva de omisión SSL

  9. Verifique dos veces que la acción sea ahora BYPASS

  10. Volver a Administración de tráfico > SSL > Directivas para volver a comprobar el cambio

    Directiva de omisión

  11. Para enlazar la directiva Omitir al servidor virtual, vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

    ! [SSL proxy01] (/en-us/tech-zone/learn/media/poc-guides_secure-browser-adc-integration_34.png)

  12. Haga doble clic en el servidor virtual, en este ejemplo sslproxy01

  13. Seleccione agregar directivas SSL y haga clic en Enlace de directivas SSL

  14. Enlazar la directiva de omisión > Agregar

    Paso 5.7

  15. Haga clic en Enlazar

    Paso 5.8

    Nota:

    Esta directiva se crea para omitir la intercepción de ADC para el tráfico que va a un explorador seguro launch.cloud.com

Crear perfil SSL

  1. Vaya a Sistema > Perfiles > Perfil SSL > Agregar

    Paso 6.1

  2. Crear el perfil dándole un nombre, en este ejemplo smesec_swg_sslprofile

    Nombre de perfil SSL

  3. Marque la casilla para habilitar la Intercepción de sesiones SSL y, a continuación, haga clic en Aceptar

    Paso 6.3

  4. Haga clic en Aceptar para crear un perfil SSL

  5. Debe instalar el par de llaves de certificado

  6. Asegúrese de tener un .pfx formato del par cert-key antes. Consulte el siguiente paso para obtener instrucciones sobre cómo generar un archivo .pfx a partir de los archivos .cert y .key que descargó anteriormente.

Preparar par de llaves de cert

  1. Empezar por instalar la herramienta SSL

  2. Agregar la ruta openssl de instalación a las variables de entorno del sistema

    Ruta de la instalación de SSL

  3. Desde PowerShell, ejecute el comando:

    openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

    Captura de pantalla de PowerShell

Enlazar un certificado de CA de intercepción SSL al perfil SSL

  1. Vaya a Sistema > Perfiles > Perfil SSL

  2. Seleccione el perfil creado anteriormente

  3. Haga clic en + Clave de certificado

  4. Haga clic en instalar

  5. Elija el archivo.pfx preparado previamente

  6. Crea una contraseña (la necesitas más tarde)

  7. Haga clic en instalar

    Paso 8

Enlazar el perfil SSL al servidor virtual

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

    SSL proxy01

  2. Seleccione el servidor virtual, en este ejemplo sslproxy01

  3. Haga clic para modificar el perfil SSL

    Modificar perfil SSL

  4. Elija el perfil SSL creado en anteriormente, en este ejemplo smesec_swg_sslprofile

  5. Completado

Sección 5: Configurar directivas y acciones de reescritura

Una directiva de reescritura consiste en una regla y una acción. La regla determina el tráfico en el que se aplica la reescritura y la acción determina la acción que debe realizar el dispositivo Citrix ADC. La directiva de reescritura es necesaria para que la redirección URL se produzca en Secure Browser en función de la categoría de la URL introducida en el explorador, en este ejemplo “Noticias”.

Referencia

Crear directiva y acción de reescritura

  1. Vaya a AppExpert > Reescribir > Directiva

  2. Haga clic en Agregar

    Crear directiva de reescritura

  3. Cree la directiva nombrándola, cloud_pol en este ejemplo y utilice la expresión: HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

  4. Haga clic en crear

    Crear directiva de reescritura

  5. Crear la acción en PutTY

  6. Ejecute el comando siguiente:

    add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

    Nota:

    En el comando reemplace <customername> con el nombre de su cuenta de cliente de Citrix Cloud y <appname> reemplácelo por el nombre de la aplicación publicada en Secure Browser para la que está habilitada la directiva de parámetros de URL. Refiriéndose a la aplicación publicada que creó en la Sección 1.

Enlazar directiva de reescritura al servidor virtual

  1. Volver a la consola de administración de ADC

  2. Vaya a AppExpert > Reescribir > Directiva

  3. Vaya a la directiva cloud_pol y cambie la acción a cloud_act (la creada anteriormente)

    acción cloud_act

  4. Para elegir el tipo de directiva de reescritura, vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

  5. Seleccione “+ Directivas”

  6. Directiva: Reescribir

  7. Tipo: Respuesta

    Paso 11.2

  8. Seleccione la directiva creada, en este ejemplo cloud_pol

  9. Prioridad: 10

  10. Vincular

    Paso 11.3

  11. Haga clic en listo

  12. Guardar configuración

Enlazar clave de certificado al perfil

  1. Vaya a Sistema > Perfiles > Perfil SSL

  2. Seleccione el perfil creado, por ejemplo smesec_swg_sslprofile

  3. Haga doble clic en + Clave de certificado

    Paso 12.2

  4. Seleccione la clave de certificado, por ejemplo smesec_cert_overall

    Paso 12.3

  5. Haga clic en Seleccionar
  6. Haga clic en Enlazar
  7. Haga clic en Hecho
  8. Guardar configuración

Importar el archivo de certificado al explorador

  1. Sube el certificado en Firefox (según nuestro ejemplo con sitios web de la categoría Noticias)

  2. Vaya a Opciones en su explorador de elección, Firefox en este ejemplo

  3. Buscar “certs” > haga clic en “Ver certificados”

    Paso 13.1

  4. En la ventana del Administrador de certificados, haga clic en “Importar…”

    Paso 13.2

  5. Busque su certificado y haga clic en abrir, smesec_cert1.cert en este ejemplo

    Paso 13.3

  6. Introduzca la contraseña que creó al crear el certificado

  7. La entidad emisora de certificados debe estar instalada correctamente

    Paso 13.4

Demo

Los sitios web de noticias del explorador local se redirigen automáticamente a Secure Browser. Consulte los siguientes demostración

Resumen

En esta guía de PoC, ha aprendido a configurar Citrix ADC en Azure y Configurar el proxy de reenvío SSL y la intercepción SSL. Esta integración permite la entrega dinámica de recursos mediante la redirección de la navegación al servicio Explorador seguro. Por lo tanto, proteger la red de la empresa sin sacrificar la experiencia del usuario.

Guía de prueba de concepto: Redirección de URL a Secure Browser con Citrix ADC en Azure