Guía de PoC: Redireccionamiento de URL con Secure Browser y NetScaler ADC en Azure

Descripción general

Estos son los pasos de configuración para configurar un ADC, configurar SSL Forward Proxy e Intercepción SSL mediante la plantilla de mercado de NetScaler ADC más reciente. La capacidad de redirección URL a explorador seguro del ADC permite a los administradores definir categorías específicas de sitios web que se redirigirán del explorador local a Secure Browser automáticamente. NetScaler ADC actúa como un proxy intermedio para realizar la interceptación entre la navegación local e Internet, logrando así el aislamiento web y protegiendo la red corporativa. Esta capacidad aumenta la seguridad sin comprometer la experiencia del usuario.

Arquitectura Conceptual

Ámbito

Esta guía de prueba de concepto describe lo siguiente:

1. Obtener una cuenta de prueba de explorador seguro
2. Configurar ADC en Azure
3. Configurar el dispositivo NetScaler ADC como proxy
4. Configurar la intercepción SSL
5. Configurar directivas y acciones de reescritura

Pasos de implementación

Sección 1: Obtener una cuenta de prueba de explorador seguro

[Documento de referencia para Remote Browser Isolation Service]/es-es/citrix-remote-browser-isolation)

Solicitar una prueba del explorador seguro

1. Navegue a su cuenta de Citrix Cloud e introduzca el nombre de usuario y la contraseña

2. Haga clic en Sign In. Si su cuenta gestiona más de un cliente, seleccione el adecuado

   

3. Haga doble clic en el icono Secure Browser.

   

4. Si sabes quién es su equipo de cuentas, ponte en contacto con ellos para obtener la aprobación de la prueba. Si no estás seguro de quién es su equipo de cuentas, continúa con el siguiente paso.

5. Haga clic en Solicitar una llamada

   

6. Introduzca sus datos y, en la sección Comentarios, especifique “Prueba de Remote Browser Isolation Service”.

7. Haga clic en Submit.

   

   Nota:

   Citrix Sales se pondrá en contacto con usted para darle acceso al servicio. Esto no es inmediato, un representante de ventas de Citrix contactará

8. Una vez que haya aprobado la prueba de Secure Browser, consulte la sección Publicar un navegador seguro del documento de Citrix para publicar una aplicación Secure Browser.

Habilitar parámetros de URL

1. En su suscripción a Citrix Cloud, haga doble clic en el icono Explorador seguro

2. En el explorador publicado, denominado “explorador” en este ejemplo, haga clic en los tres puntos y seleccione Directivas

   

3. Habilitar la directiva Parámetros de URL en el explorador publicado

   

Sección 2: Configurar ADC en Azure

El ADC se puede configurar en cualquier nube de elección. En este ejemplo, Azure es nuestra nube de elección.

Configurar una instancia de ADC

1. Desplácese hasta Todos los recursos y haga clic en el botón + Agregar, busque NetScaler ADC

2. Seleccionar plantilla de NetScaler ADC

3. Seleccione el plan de software según sus requisitos (en este ejemplo Traiga su propia licencia)

4. Haga clic en Crear.

   

Configurar tarjeta NIC

1. Vaya a Todos los recursos y seleccione la tarjeta NIC para la instancia de ADC

2. Seleccione Configuraciones IP, anote la dirección de administración de ADC

3. Habilite la configuración de reenvío de IP, guarde los cambios.

   

Configurar IP virtual

1. Haga clic en Agregar, defina virtualip como el nombre de la nueva configuración.

2. Seleccione Estática y agregue una nueva dirección IP después de la dirección de administración

3. Habilitar la opción Dirección pública y crear una nueva dirección IP pública

4. Guardar los cambios

   

Configurar el FQDN en el cliente

1. Desplácese hasta el recurso Dirección IP pública creado para la virtualip configuración

2. Haga clic en Configuracióny agregue una etiqueta DNS (en este ejemplo, urlredirection.eastus.cloudapp.azure.com)

   

Configurar reglas de red

1. Agregue las siguientes reglas de red

   

   Nota:

   Puede optar por cerrar los puertos 22 y 443 una vez finalizada la configuración, ya que esos puertos solo son necesarios para iniciar sesión en la consola de administración con fines de configuración.

2. En este punto, la instancia de ADC en Azure está configurada

Sección 3: Configurar el dispositivo NetScaler ADC como proxy

Configure el ADC como proxy para redirigir el tráfico desde el explorador cliente a Internet.

Iniciar sesión en la consola de administración de ADC

1. Vaya a la consola de administración de NetScaler ADC introduciendo la dirección IP pública de la instancia en la barra de búsqueda del explorador

   Nota:

   Utilice la dirección IP de la máquina aprovisionada en los pasos anteriores, en este ejemplo https://40.88.150.164/

2. Inicie sesión en la consola introduciendo el nombre de usuario y la contraseña que configuró en los pasos anteriores

   

3. En la pantalla de configuración inicial, haga clic en Continuar

Cargar las licencias

1. Vaya a Sistema > Licencias > Administrar licencias

2. Cargue las licencias necesarias para ADC.

   Nota:

   Las licencias que aportes deben admitir las funciones resaltadas en los pasos 11 y 13 en Configurar funciones básicas y configurar funciones avanzadas (por ejemplo, CNS_v3000_server_plt_retail.lic y cns_webf_sserver_retail.lic)

   

3. Reinicie el servidor después de cargar ambas licencias.

4. Después de reiniciar, vuelva a iniciar sesión en la administración

5. Vaya a Sistema > Configuración > Configurar Modos

6. Solo se deben habilitar dos opciones de reenvío basado en Mac y Descubrimiento MTU de ruta

   

   

7. Vaya a Sistema > Configuración > Configurar funciones básicas

   

8. Seleccione: SSL Offloading, Load BalancingRewrite, Authentication, Authorization, and Auditing, Content Switching, y Integrated Caching

   

9. Vaya a Sistema > Configuración > Configurar funciones avanzadas

   

10. Seleccione: Cache Redirection, IPv6 Protocol Translation, AppFlow, Reputation, Forward Proxy, Content Inspection, Responder, URL Filtering, y SSL Interception

    

Configurar el servidor NTP

1. Vaya a Sistema > Servidores NTP > Agregar

   

2. Crear un servidor, por ejemplo pool.ntp.org

   

3. Habilitar NTP cuando se le solicite y configure el servidor como habilitado

   

4. Guardar la configuración desde la acción de guardar el portal de administración

   

5. Abra la sesión SSH a la dirección de administración de ADC, inicie sesión con las credenciales que utilizó mientras aprovisionaba el ADC desde Azure

Configurar perfil TCP y vServer

1. Obtener los virtualip pasos de la Sección 2 y entrar en el comando (en este ejemplo 10.1.0.5)

2. Ejecute los siguientes comandos con la sslproxy dirección, por ejemplo virtualip:

3. Para agregar perfil TCP:

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
   <!--NeedCopy-->
   

4. Para agregar un servidor virtual

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
   
   bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
   
   add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
   
   set cs vserver sslproxy01 -netProfile proxy-netprofile01
   
   set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
   
   save ns config
   <!--NeedCopy-->
   

5. Para cambiar la configuración de caché volver a la sesión de administración en el explorador

6. Vaya a Optimización > Almacenamiento en caché integrado

7. Vaya a Configuración > Cambiar configuración de caché

   

8. Establezca el límite de uso de memoria250 MB y haga clic en Aceptar

   

Configurar el cliente para la redirección de URL

1. En un cliente, por ejemplo Firefox

2. Configure el proxy del explorador en virtualip, IP pública o FQDN: 8080 configurado en la Sección 2 (por ejemplo, urlredirection.eastus.cloudapp.azure.com:8080)

   

3. Ahora que tenemos un ADC configurado, pruebe cualquier conectividad del sitio web desde el explorador con el ADC actuando como proxy.

Sección 4: Configurar la intercepción SSL

La intercepción SSL utiliza una directiva que especifica el tráfico que interceptar, bloquear o permitir. Citrix recomienda configurar una directiva genérica para interceptar tráfico y directivas más específicas para omitir parte del tráfico.

Referencias:

Intercepción SSL

Categorías de URL

Ejemplo de configuración de vídeo

Crear una clave RSA

1. Vaya a Gestión del tráfico > SSL > Archivos SSL > Claves

2. Seleccione Crear clave RSA

   

3. Seleccione el nombre del archivo de clave y el tamaño de clave requerido

   

4. Una vez creada la clave, descargue el .key archivo para usarlo más tarde

   

Crear una solicitud de firma de certificados (CSR)

1. Vaya a Administración de tráfico > SSL > Archivos SSL > CSR > Crear solicitud de firma de certificado (CSR)

   

2. Asigne un nombre al archivo de solicitud, por ejemplo semesec_req1.req

   

3. Haga clic en Nombre de archivo de clave > Aplicar el nombre del archivo de clave es el que se creó en el paso anterior, en este ejemplo smesec_key1.key

   

4. Después de seleccionar la Clave continúe rellenando los espacios en blanco necesarios: Nombre común, Nombre de la organización y Estado o provincia

5. Haga clic en Crear.

Crear un certificado

1. Vaya a Gestión del tráfico > SSL > Archivos SSL > Certificados > Crear certificado

   

2. Asigne un nombre al certificado y elija el archivo de solicitud de certificado (.req) y el nombre del archivo de clave (.key) creados en los pasos anteriores

   

3. Haga clic en Crear.

4. Una vez creado el certificado, descargue el .cert archivo para su uso posterior

   

Crear directiva SSL INTERCEPT

1. Vaya a Administración de tráfico > SSL > Directivas

2. Haga clic en Agregar.

   

3. Asigne un nombre a la directiva y seleccione la acción INTERCEPTAR

4. Expresión para interceptar noticias:

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. Haga clic en Crear.

   

6. Para enlazar la directiva Interceptar al servidor virtual, vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

   

7. Seleccione el servidor virtual, en este ejemplo sslproxy01

8. Seleccione agregar directivas SSL y haga clic en Sin enlace de directivas SSL

9. Enlazar la directiva de interceptación:

   

Crear directiva de BYPASS SSL

1. Vaya a Administración de tráfico > SSL > Directivas

2. Haga clic en Agregar.

   

3. Asigne un nombre a la directiva y seleccione la acción NOOP: No hay opción BYPASS, consulte el siguiente paso

4. Expresión para omitir la directiva: CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. Vaya a Seguridad > Proxy de reenvío SSL > Directivas de intercepción SSL

   

6. Seleccione la directiva para editarla

7. Cambiar acción de NOOP a BYPASS

8. Haga clic en OK.

   

9. Verifique dos veces que la acción sea ahora BYPASS

10. Volver a Administración de tráfico > SSL > Directivas para volver a comprobar el cambio

    

11. Para enlazar la directiva Omitir al servidor virtual, vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

    

12. Haga doble clic en el servidor virtual, en este ejemplo sslproxy01

13. Seleccione agregar directivas SSL y haga clic en Enlace de directivas SSL

14. Enlazar la directiva de omisión > Agregar

    

15. Haga clic en Enlazar

    

    Nota:

    Esta directiva se crea para omitir la intercepción de ADC para el tráfico que va a un explorador seguro launch.cloud.com

Crear perfil SSL

1. Vaya a Sistema > Perfiles > Perfil SSL > Agregar

   

2. Crear el perfil dándole un nombre, en este ejemplo smesec_swg_sslprofile

   

3. Marque la casilla para habilitar la Intercepción de sesiones SSL y, a continuación, haga clic en Aceptar

   

4. Haga clic en Aceptar para crear un perfil SSL

5. Debe instalar el par de llaves de certificado

6. Asegúrese de tener un .pfx formato del par cert-key antes. Consulte el siguiente paso para obtener instrucciones sobre cómo generar un archivo .pfx a partir de los archivos .cert y .key que descargó anteriormente.

Preparar par de llaves de cert

1. Comience por instalar la herramienta SSL

2. Agregar la ruta openssl de instalación a las variables de entorno del sistema

   

3. Desde PowerShell, ejecute el comando:

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

Enlazar un certificado de CA de intercepción SSL al perfil SSL

1. Vaya a Sistema > Perfiles > Perfil SSL

2. Seleccione el perfil creado anteriormente

3. Haga clic en + Clave de certificado

4. Haga clic en Instalar

5. Elija el archivo.pfx preparado previamente

6. Crea una contraseña (la necesitas más tarde)

7. Haga clic en Instalar

   

Enlazar el perfil SSL al servidor virtual

1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

   

2. Seleccione el servidor virtual, en este ejemplo sslproxy01

3. Haga clic para modificar el perfil SSL

   

4. Elija el perfil SSL creado en anteriormente, en este ejemplo smesec_swg_sslprofile

5. Completado

Sección 5: Configurar directivas y acciones de reescritura

Una directiva de reescritura consiste en una regla y una acción. La regla determina el tráfico en el que se aplica la reescritura y la acción determina la acción que debe realizar el dispositivo NetScaler ADC. La directiva de reescritura es necesaria para que la redirección URL se produzca en Secure Browser en función de la categoría de la URL introducida en el explorador, en este ejemplo “Noticias”.

Reference

Crear directiva y acción de reescritura

1. Vaya a AppExpert > Reescribir > Directiva

2. Haga clic en Agregar.

   

3. Cree la directiva nombrándola, cloud_pol en este ejemplo y utilice la expresión: HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. Haga clic en crear

   

5. Crear la acción en PutTY

6. Ejecute este comando:

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   Nota:

   En el comando reemplace <customername> con el nombre de su cuenta de cliente de Citrix Cloud y <appname> reemplácelo por el nombre de la aplicación publicada en Secure Browser para la que está habilitada la directiva de parámetros de URL. Refiriéndose a la aplicación publicada que creó en la Sección 1.

Enlazar directiva de reescritura al servidor virtual

1. Volver a la consola de administración de ADC

2. Vaya a AppExpert > Reescribir > Directiva

3. Vaya a la directiva cloud_pol y cambie la acción a cloud_act (la creada anteriormente)

   

4. Para elegir el tipo de directiva de reescritura, vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy

5. Seleccione “+ Directivas”

6. Directiva: Reescribir

7. Tipo: Respuesta

   

8. Seleccione la directiva creada, en este ejemplo cloud_pol

9. Prioridad: 10

10. Enlazar

    

11. Haga clic en listo

12. Guardar configuración

Enlazar clave de certificado al perfil

1. Vaya a Sistema > Perfiles > Perfil SSL

2. Seleccione el perfil creado, por ejemplo smesec_swg_sslprofile

3. Haga doble clic en + Clave de certificado

   

4. Seleccione la clave de certificado, por ejemplo smesec_cert_overall

   

5. Haga clic en Seleccionar
6. Haga clic en Enlazar
7. Haga clic en Listo
8. Guardar configuración

Importar el archivo de certificado al explorador

1. Sube el certificado en Firefox (según nuestro ejemplo con sitios web de la categoría Noticias)

2. Vaya a Opciones en su explorador de elección, Firefox en este ejemplo

3. Buscar “certs” > haga clic en “Ver certificados”

   

4. En la ventana del Administrador de certificados, haga clic en “Importar…”

   

5. Busque su certificado y haga clic en abrir, smesec_cert1.cert en este ejemplo

   

6. Introduzca la contraseña que creó al crear el certificado

7. La entidad emisora de certificados debe estar instalada correctamente

   

Demo

Los sitios web de noticias del explorador local se redirigen automáticamente a Secure Browser. Vea la siguiente demostración

Resumen

En esta guía de PoC, ha aprendido a configurar NetScaler ADC en Azure y Configurar el proxy de reenvío SSL y la intercepción SSL. Esta integración permite la entrega dinámica de recursos al redirigir la navegación al servicio Remote Browser Isolation. Por lo tanto, proteger la red de la empresa sin sacrificar la experiencia del usuario.