Prueba de concepto: Citrix Secure Internet Access con Citrix SD-WAN

Información general

Citrix Workspace ha sido utilizado con éxito por empresas de todos los tamaños durante casi tres décadas. Los clientes tienen opciones sobre cómo licencian, implementan, integran y administran estas tecnologías. Esta flexibilidad permite que las tecnologías Citrix respondan a diversos casos de uso, tipos de negocio, requisitos de integración y modelos de implementación. La amplia adopción empresarial ha dado lugar a un conjunto diverso de implementaciones para satisfacer los casos de uso y la evolución de las tecnologías de red. Muchos factores diferentes impulsan la selección de la implementación, incluida la ubicación de los centros de datos (modelo local, en la nube o híbrido), usuarios, sucursales, servicio de administración y opciones de conectividad de red.

Ámbito

En esta guía de prueba de concepto, experimentará la función de un administrador de Citrix que crea una conexión entre el dispositivo SD-WAN perimetral de la organización con Citrix SIA Cloud a través de túneles IPSec.

En esta guía se muestra cómo realizar las siguientes acciones:

  • Configuración de un nuevo sitio en el Orchestrator para la Prueba de concepto
  • Implementación del sitio mediante la automatización perfecta de túneles IPSec en Citrix SIA cloud desde Orchestrator
  • Verificación del túnel IPSec en la plataforma Orchestrator y Citrix SIA Cloud
  • Instalación de agentes de software SIA (también conocidos como Cloud Connector Agent) en el portátil con un grupo de seguridad específico y directivas de seguridad de ejercicio para el tráfico de Internet
  • Demostración de varios casos de uso de integración SIA+SD-WAN disponibles en esta guía de PoC.
  • Configure directivas de seguridad web, CASB y directivas de protección contra malware para permitir/denegar el acceso a determinados sitios web o categorías a través de Citrix SIA Console.
  • Inicie el tráfico web y verifique el bloqueo y permita la funcionalidad
  • Mostrar informes y análisis

Ventajas

Redes e implementación-Casos de uso y beneficios

  • SIA perfecta para dispositivos administrados y acceso fiable y seguro a las cargas de trabajo de DC a través de la ruta virtual SD-WAN En los dispositivos administrados detrás de SD-WAN, es fácil usar el agente Citrix SIA para tener acceso seguro a Internet. La superposición SD-WAN reenvía la sucursal al tráfico de carga de trabajo del centro de datos de forma segura y fiable.

  • El túnel IPSec fiable de enlace multi-WAN de SD-WAN para subredes locales El acceso seguro a Internet basado en subredes locales de dispositivos BYOD sin agentes o portátiles personales que no son administrados por la empresa se puede asegurar a través del túnel IPsec altamente confiable de Citrix SD-WAN + Citrix SIA. La fiabilidad se logra a través del túnel que tiene múltiples enlaces wan.

  • Postura de seguridad simple para dominios invitados en una sucursal a través de redirección DNS o túnel IPSec Con una subred de túnel/local independiente para dominios invitados y asignación de grupos de seguridad relacionados.

Ventajas de la integración/automatización/administración entre Citrix SIA y SD-WAN

Beneficios 1 - Conectividad automatizada y resistente en el día 0 Beneficios 2 - Operaciones simplificadas para el día N

Topología general de Citrix SD-WAN + SIA

A continuación verá un diagrama de flujo para 3 casos de uso primarios:

1) Usuarios de rama 2) Usuarios remotos SIN Workspace Service 3) Usuarios remotos CON Workspace Service

Topología: Operaciones Simplificadas para el Día N

Casos de uso de la integración de Citrix SD-WAN + SIA

La integración de Citrix SD-WAN y Citrix SIA ofrece flexibilidad y opciones para un perfil mixto de usuarios de sucursales en una empresa. Una empresa suele tener una combinación de dispositivos administrados y no administrados en la sucursal donde existe un Citrix SD-WAN. Con la integración, el agente de Citrix SIA permite separar de forma segura el tráfico de dispositivos administrados a la nube de Citrix SIA a través del SD-WAN mediante el servicio Internet (con equilibrio de carga). Los dispositivos no administrados como los usuarios BYOD e invitado se protegen mediante el túnel IPSec entre Citrix SD-WAN y Citrix SIA como puntos finales del túnel.

Ilustración de casos de uso: Operaciones simplificadas para el día N

Prerrequisitos previos de PoC

Requisitos generales

  • Citrix SD-WAN 110/210 para una PoC basada en hardware local.
    • Puede ser cualquier dispositivo que elija para la PoC. Todos los dispositivos Citrix SD-WAN admiten la oferta Citrix SIA.
    • Nota: La PoC también se puede realizar en una SD-WAN basada en Azure VPX con una máquina virtual de Windows detrás de la máquina virtual en la LAN con/sin un agente Citrix SIA (también conocido como Citrix SIA Cloud Connector).
  • Una equipo portátil con Windows o MAC.
  • Descarga de Agente de Windows/Mac MSI desde la plataforma en la nube Citrix SIA.

Requisitos de la red

Configuración de puerto/firewall a SIA — Conexiones salientes:

Protocolo Puerto Descripción
TCP 53 Filtrado DNS
TCP 80 Conexiones proxy y páginas de bloqueo personalizadas
TCP 443 Recuperación de scripts PAC a través de HTTPS y autenticación de proxy a través de HTTPS
TCP 7080 Puerto alternativo para la recuperación de scripts PAC a través de HTTP
TCP 7443 Puerto alternativo para la recuperación de scripts PAC a través de HTTPS
TCP 8009 Puerto alternativo para conexiones proxy
TCP 8015 Autenticación de proxy sobre HTTP
TCP 8016 Puerto alternativo para la autenticación proxy
TCP 8025 Cloud Connector HTTP heredado (agente SIA)
TCP 8026 Cloud Connector HTTPS heredado (agente SIA)
TCP 8080 Página de bloque predeterminada
TCP 8082 Cloud Connector para iOS (Puerto proxy adicional predeterminado)
TCP 10080 Recuperación de scripts PAC a través de HTTP

Orchestrator - Aplicación personalizada

Se recomienda que el tráfico del agente SIA de los dispositivos administrados corporativos se omita desde el túnel IPSec local de la SD-WAN en el borde de la bifurcación. Esto permite un proxy directo a Citrix SIA, donde las unidades organizativas empresariales o los grupos de seguridad se pueden ejercer directamente a través de conectores en la nube en los dispositivos administrados.

Para permitir que el agente de Citrix SIA use Call Home sin problemas al clúster de puerta de enlace de Citrix SIA y a los PoP’s, es fundamental omitir el tráfico basado en el conector de nube desde el túnel IPSec para que el registro del conector en la nube se realice y el proxy esté disponible directamente desde el conector.

La aplicación personalizada se basa en la lista de puertos mencionada en la sección anterior Lista de puertos de requisitos previos de PoC. Todos los IP/protocolos específicos de la aplicación personalizada de Omitir Orchestrator, se envían a través del servicio Internet.

Información requerida de la plataforma Citrix SIA:

  • La IP del nodo Citrix SIA CloudGateway forma parte del clúster de puerta de enlace
    • El agente Citrix SIA se conecta a los nodos de puerta de enlace a través del puerto 443. Nuestra configuración de la aplicación personalizada de derivación garantiza que el tráfico del agente se envía a través del servicio Internet y se omite desde el túnel IPSec.
  • La IP del nodo Citrix SIA Reporter forma parte de la administración de grupos de nodos. Se contacta con el reportero para enviar estados/informes desde el conector de nube (SIA Agent).

Omitir directiva de CSIA Agent Orchestrator

Nodo en naranja: Nodo Reporter con IP mostrado en la columna “IP pública” y representado con un icono diferente (antes del nombre del nodo).

Nodos en verde: Los nodos POP de nube forman parte de un clúster de puerta de enlace CSIA con direcciones IP mostradas en la columna “IP pública” y representadas con el icono de globo. Un clúster de puerta de enlace CSIA es un agregado de dos o más nodos de puerta de enlace CSIA.

Nota:

  1. Cuando realice su PoC, compruebe los nodos según su cuenta y aplique las reglas de omisión de Orchestrator en consecuencia.
  2. Las cuentas casi siempre tienen un nodo de reportero, pero los ndo de puerta de enlace pueden ser uno o más.
  3. Asegúrese de omitir a todos los nodos de puerta de enlace para que se tengan en cuenta durante la derivación (el tráfico puede ir a cualquier nodo de CloudGateway).

Crear una aplicación personalizada en Orchestrator - “Exclude_CloudConn_IPSectUnn”

  • Crear entradas de tbe a continuación mediante IPs y puertos
  • Las IP serán las IPs de Citrix SIA Reporter Cloud Node y las IPs del nodo de Gateway Cloud con el puerto 443
  • Habrá entradas explícitas basadas en puertos que el agente de Citrix SIA utiliza para el registro, procesamiento de tráfico e informes.

Omitir directiva de CSIA Agent Orchestrator

Orchestrator: Coste del servicio de Internet

Al crear el servicio Citrix Secure Internet Access, un administrador puede utilizar el grupo SIA predeterminado para seleccionar el tráfico que se va a dirigir a través del túnel IPSec.

El administrador puede redirigir “TODAS LAS APLICACIONES” o aplicaciones específicas a través del túnel IPSec como parte del servicio Citrix SIA.

  • Enrutar TODAS LAS APLICACIONES a través del servicio Citrix SIA Service en Orchestrator bajo el servicio SIA Default SIA Group

Enrutar TODAS las aplicaciones a través de Citrix SIA desde Orchestrator

  • Enrutar aplicaciones específicas a través del servicio Citrix SIA Service en Orchestrator bajo el servicio SIA Default SIA Group

Enrutar aplicaciones específicas a través de Citrix SIA desde Orchestrator

Nota: Si se eligen aplicaciones específicas, solo se crean rutas de aplicación específicas con Citrix SIA como tipo de servicio que se debe dirigir a través del túnel IPSec. El servicio Citrix SIA es un servicio de tipo INTRANET de forma predeterminada.

Recomendación importante cuando se utiliza el servicio Citrix SIA para la redirección DE TODAS LAS APLICACIONES junto con el Servicio Internet Si un administrador elige “TODAS LAS APLICACIONES” para redirigirse a través de Citrix SIA, una ruta DEFAULT 0.0.0.0/0 creada con el servicio Citrix SIA con un coste de 45 de forma predeterminada.

Existe un servicio de Internet o se crea en la SD-WAN para un caso de uso específico. Por ejemplo: Servicio de Internet para separar el tráfico relacionado con el agente CSIA, servicio de Internet para romper el tráfico de Orchestrator o una implementación de campo en el que ya existe un servicio de Internet para algunos escenarios. Tenga en cuenta esto, al crear el servicio SIA con el servicio Internet (para la redirección adecuado).

Recomendaciones generales:

Recomendación 1: Si el servicio CSIA se utiliza para TODAS las aplicaciones junto con el servicio de Internet, cree aplicaciones personalizadas específicas o utilice el motor de DPI con aplicaciones específicas para ser dirigidas a través del servicio Internet.

Recomendación 2: Si el servicio CSIA se va a utilizar para algunas aplicaciones y el servicio Internet como servicio predeterminado para Internet, asegúrese de que se seleccionan aplicaciones específicas para el grupo de servicio Citrix SIA.

Problemas que puede enfrentar si se elige “TODAS LAS APLICACIONES” para redirigir a través de CSIA y servicio de Internet y cómo superarlo:

Dado que por diseño, el coste del Servicio de Internet es 5 y el coste del servicio CSIA es 45, TODO el tráfico prefiere ser enrutado a través del servicio de Internet en lugar del servicio CISA. Por lo tanto, es bueno tener en cuenta la redirección cuando los servicios de Internet y CSIA coexisten en la implementación.

Utilice una de las dos recomendaciones anteriores. O puede modificar el coste del servicio de Internet como “50” para que el servicio CSIA sea más preferido (con un coste de 45).

Enrutar aplicaciones específicas a través de Citrix SIA desde Orchestrator

Configuración de Citrix SD-WAN 110/210

Suposición: Se supone que el Orchestrator ya está configurado con un MCN.

Configuración del sitio de Orchestrator

  1. Cree un sitio en Orchestrator y proporcione:
    • Nombre del sitio
    • Elegir local
    • Proporcione la dirección del sitio (Ubicación desde donde se realiza la PoC)

    Enrutar aplicaciones específicas a través de Citrix SIA desde Orchestrator

  2. Introduzca los detalles necesarios para el nuevo sitio agregado
    • Introduzca el modelo de dispositivo — 210
    • En esta guía el dispositivo de referencia es un 210. Basado en el dispositivo en la PoC, seleccione apropiadamente
    • Introduzca el submodelo: LTE
    • Introduzca la edición del dispositivo: SE
    • Introduzca el rol de sitio: Rama

    210 nuevos detalles de creación de sitios de Orchestrator

  3. Introduzca los detalles de la interfaz para definir las interfaces LAN/WAN.

    Para esta demostración de la guía de PoC:

    • Tipo de modo de implementación: Modo de puerta de enlace
    • Interfaces: 1 LAN y 2 interfaces WAN
    • Enlaces WAN: 2 (una IP estática y 1 basada en DHCP)

    Definición de interfaz LAN

    • Seleccione el modo de implementación como Edge (Gateway)
    • Elija el tipo de interfaz como LAN y seguridad como de confianza
    • Elija 1/1 como interfaz LAN
    • Introduzca la IP LAN como 192.168.9.118
    • Aplicar Listo y Guardar

    ! [210 Detalles de creación de la interfaz LAN de Orchestrator] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_laninterface210.png)

    WAN Link 1 - Definición de interfaz

    • Seleccione el modo de implementación como Edge (Gateway)
    • Elija el tipo de interfaz como WAN y Seguridad como de confianza
    • Elija 1/2 como interfaz WAN
    • Introduzca la IP de la WAN como 192.168.1.199
    • Aplicar Listo y Guardar

    ! [210 Detalles de creación de interfaz WAN Link 1 desde Orchestrator] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_waninterface210.png)

    WAN Link 2 - Definición de interfaz

    • Seleccione el modo de implementación como Edge (Gateway)
    • Elija el tipo de interfaz como WAN y Seguridad como de confianza
    • Elija 1/3 como interfaz WAN
    • Seleccione el cliente DHCP para que el enlace WAN se dirija automáticamente
    • Aplicar Listo y Guardar

    ! [210 Detalles de creación de interfaz WAN Link 2 de Orchestrator] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_wan2interface210.png)

    WAN Link 1 - Definición de interfaz de acceso

    • Seleccione el tipo de acceso como Internet público
    • Seleccione Detectar automáticamente
    • Introduzca la velocidad según corresponda (basado en el enlace PoC disponible)
    • 15 Mbps Cargar/Descargar
    • Seleccione la interfaz WAN1 y proporcione la puerta de enlace (IP de la interfaz de acceso se rellena automáticamente)

    ! [210 Detalles de creación de interfaz de acceso WAN Link 1 desde Orchestrator] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_wan1accessint.png)

    WAN Link 2 - Definición de interfaz de acceso

    • Seleccione el tipo de acceso como Internet público
    • Seleccione Detectar automáticamente
    • Introduzca la velocidad según corresponda (basado en el enlace PoC disponible)
    • 10 Mbps Cargar/Descargar
    • Seleccione la interfaz WAN2 y la interfaz de acceso se rellena automáticamente (ya que es un enlace DHCP)

    ! [210 Detalles de creación de la interfaz de acceso Wan Link 2 desde Orchestrator] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_wan2accessint.png)

    Implementar la configuración y el software para iniciar la administración de cambios y la activación

    • Haga clic en Implementar software de configuración
    • Haga clic en Stage y permita la puesta en escena para completar
    • Haga clic en Activar y permitir activar para completar

    ! [210 detalles de creación de la nueva interfaz de sitio de Orchestrator] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_deploystageactivate210.png)

Túnel IPsec de Citrix SD-WAN

Crear servicio SIA

  • Vaya a Todos los sitios -> Servicios de entrega -> Servicio de acceso seguro a Internet

  • Ajuste el aprovisionamiento en el servicio de acceso seguro a Internet a nivel global y reajuste el aprovisionamiento general de enlaces a Internet

Nota: A nivel global, sin el valor de aprovisionamiento para el servicio SIA, se produce un error en el aprovisionamiento IPSec automatizado del sitio SIA

  • Proporcionar cierto porcentaje de aprovisionamiento en el enlace de Internet para el servicio de acceso seguro a Internet: Para esta demostración damos el 30%

Recomendación de prácticas recomendadas: Sin este porcentaje de aprovisionamiento, se produce un error en el aprovisionamiento del sitio. Por lo tanto, se recomienda que proporcionemos el porcentaje antes de crear el sitio para el servicio SIA

  • Haga clic en el icono de engranaje para agregar el nuevo sitio para el servicio Citrix SIA

Nota: La creación de un servicio SIA crea internamente un servicio INTRANET automático con el dominio de redirección elegido durante la configuración del sitio SIA y PRESERVE ROUTE TO INTRANET SERVICE, que es el botón de estado IGNORE WAN LINK automáticamente.

Citrix SIA Service Creation Orchestrator

Crear un servicio SIA

  • Agregar un sitio haciendo clic en el botón “+Sitio”
  • Después de agregar el nuevo sitio, configure las siguientes secciones.
    • Seleccione el tipo de túnel como “IPsec”
    • Puede crear un túnel IPSec con los nodos en la nube de Citrix SIA. En la PoC, utilizamos una configuración automatizada de túnel IPsec entre Citrix SD-WAN y Citrix SIA

      Tipo de túnel de servicio Citrix SIA

Selección PoP

  • Al elegir AUTO, se seleccionan los 2 POP más cercanos para el túnel IPSec (en función de la ubicación geográfica del sitio creado en el Orchestrator)
  • Se seleccionan un máximo de 2 COP para crear un túnel ACTIVE-STANDBY redundante para los 2 COP diferentes.

Nota: Asegúrese de proporcionar la ubicación correcta de la rama en el Orchestrator para que se realice la selección PoP más cercana.

  • Seleccione el sitio que debe aprovisionarse automáticamente desde el sitio SD-WAN a los POP de SIA Cloud
  • Haga clic en “Revisar”

    Selección del sitio del túnel de servicio Citrix SIA

  • Haga clic en “Guardar”

    Túnel de servicio Citrix SIA

Verificar el aprovisionamiento de servicios

  • Una vez agregado el sitio y si el aprovisionamiento de servicios se proporcionó en la sección Servicios de entrega, el aprovisionamiento del sitio se realiza correctamente.
    • Compruebe que el tipo de túnel es: IPSec
    • Recuento de regiones: 2 (si tienes 2 o más POP disponibles en su cuenta. Si su cuenta tiene SOLO 1 PoP, solo verá 1 durante la configuración de Citrix SIA en Orchestrator)
    • Estado: Provisionamiento de Sitio Correcto

      Verificación del aprovisionamiento del servicio Citrix SIA

Dirección del tráfico

  • Haga clic en “Grupo SIA predeterminado”

    Grupo de redirección de servicio Citrix SIA

  • Redirección de “TODAS LAS APLICACIONES” a través del servicio Citrix SIA: Si todo el tráfico de Internet debe pasar por el túnel IPSec de Citrix SIA. Se crea un valor predeterminado 0.0.0.0/0 a través del servicio Citrix SIA en este caso

    Redirección de servicio Citrix SIA para todas las aplicaciones

  • Aplicación/aplicación personalizada/específica de grupo: Si solo hay aplicaciones específicas que deben redirigirse a través del servicio SIA. En este caso, las rutas de aplicación se crean en el SD-WAN

    Redirección de servicio Citrix SIA para aplicaciones específicas

Verificación de automatización

Haga clic en el icono Información para saber qué detalles se han automatizado para el túnel IPSec desde el lado SD-WAN

Nota: Una vez que el túnel de Citrix SIA IPSec está aprovisionado y guardado, Citrix SD-WAN Orchestrator configura el túnel IPSec de Citrix SIA con direcciones de extremo del túnel, configuración de autenticación y cifrado IKE/IPSec y los vínculos WAN en los que debe habilitarse el túnel IPSec de Citrix SIA.

  • Algunos de los siguientes atributos se muestran haciendo clic en el icono “i” en el túnel una vez aprovisionados
    • IP locales: Se muestra la dirección IP WAN estática de los 2 enlaces WAN
    • Se muestran las IPs del nodo del mismo nivel: Puntos finales remotos del túnel (se selecciona automáticamente durante la creación del túnel según la ubicación geográfica del sitio)
    • Se muestra la subred local local, que es la subred VIP local de la interfaz LAN de la SD-WAN
    • La versión es IKEv2
    • Cifrado — AES256
    • HASH MD5/Auth — SHA256
    • Grupo PFS/IKE — Modp 1024 (Grupo2)

    ! [Datos automatizados del túnel de servicio Citrix SIA] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_csiatunnelautodata.png)

Implementación

  • Establecer y activar la configuración para habilitar el establecimiento del túnel IPSec entre Citrix SD-WAN y Citrix SIA cloud PoP

    ! [Citrix SIA Service Tunnel Change Staging] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_csiatunnelstageactivate.png)

    Activación de cambio de túnel de servicio Citrix SIA

Verificación túnel

Una vez que el administrador agrega un sitio SIA en Orchestrator, se inicia una configuración de túnel automatizada. La automatización de API crea un túnel IPSec entre Citrix SD-WAN y el nodo Citrix SIA CloudGateway. Desde el lado Citrix SIA, para establecer un túnel, necesitamos dos cosas. La creación de un túnel en Conectar dispositivo a la nube -> Túneles -> túnel IPsec y luego una creación de subred local en Red -> Subredes locales

Nota: La API genera automáticamente el nombre del túnel IPSec, el cifrado IKE/IPsec y la configuración de autenticación, la versión 2 de IKE, el ID local y remoto, incluida la clave precompartida, sin necesidad de intervención manual.

Verificación de configuración del túnel IPsec del servicio Citrix SIA

Las subredes locales también se crean automáticamente, y el túnel recién creado en la nube SIA se atribuye a la subred local apropiadamente.

Nota:
La directiva (Grupo de seguridad) habilitada es “Predeterminada” y podemos cambiar la directiva en la plataforma Citrix SIA editando las subredes locales y eligiendo un grupo de opciones administrativas.

Nota:

  1. El descifrado SSL está inhabilitado de forma predeterminada
  2. La directiva predeterminada es “Predeterminada”

Subredes locales del túnel de servicio Citrix SIA

  • Ir a todos los sitios -> Inicio de configuración de red -> Servicios de entrega -> Servicio de acceso seguro a Internet
  • Haga clic en el icono Información
    • Puede verificar el estado del túnel con IPs locales y remotas
    • Estado del túnel con estadísticas de paquetes entrantes y salientes

Estado de Citrix SIA Service Post Implementar Orchestrator

También puede verificar el estado del túnel IPSec yendo a:

  • Sitio específico -> Informes -> Tiempo Real -> Túnel IPSec -> Recuperar datos más recientes

Estadísticas del túnel IPsec del servicio Citrix SIA

Verificar asignaciones de IP en la nube

En Citrix SIA Portal, vaya a Inicio -> Administración de colecciones de nodos -> Grupos de nodos -> Cluster de nodos con tipo de puerta de enlace

Nodos de Citrix SIA View Cloud

Verificar el tráfico de túnel IPSEC

Después de que el túnel esté activo y en ejecución, verifique la IP del proxy mediante https://ipchicken.com o https://whatsmyip.com

Si utiliza Citrix SIA Cloud Connector (Agente SIA) o un túnel IPSec (sin agente), la IP del proxy es UNO de los nodos de nube proporcionados por Citrix SIA Platform para la cuenta utilizada

Proxy de host de servicio Citrix SIA

Caso de uso de PoC 1: Agente SIA + Citrix SD-WAN en una rama

Requisitos previos

Primero descargue e instale Cloud connector (SIA Agent) con un grupo de seguridad específico (Windows Connector).

Nota: No puede crear un nuevo grupo de seguridad, sino modificar los predeterminados y cambiar los nombres para crear y aplicar las directivas de seguridad a un grupo específico.

Por ejemplo, en este caso estamos modificando el Grupo 7 (No tomado y todavía predeterminado) y haciendo cambios en el nombre del grupo “POC_demo_group”.

Creación de grupos de seguridad de Citrix SIA

  • Requisito previo de configuración del conector para Proxy

    • Vaya a Proxy y almacenamiento en caché -> Configuración del proxy -> Configuración
    • Haga clic en Habilitar configuración de proxy como “SÍ”
    • Asegúrese de que el método de autenticación de usuario sea “Credenciales de usuario local+ Cloud Connectors”
    • Asegúrese de que el método de registro del conector sea “Registro estándar + SAML”
    • Dejar otros como predeterminados

      Configuración del proxy de Citrix SIA Agent

  • Haga clic en Conectar dispositivo a la nube -> Cloud Connectors

    • Haga clic en Configurar descarga del conector

      ! [Configuración de descarga del agente Citrix SIA] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_csiaagentdownloadsettings.png)

    • Seleccione los siguientes valores.

      • Usar HTTP PAC — SÍ
      • Grupo de seguridad — POC_demo_group
      • Registrarse sobre SSL: Predeterminado
      • Portal cautivo — Sí
      • Gateway Admin - Activado

      ! [Citrix SIA Agent establece valores antes de descargar] (/en-us/tech-zone/learn/media/poc-guides_secure-internet-access-sdwan_csiadownloadvalues.png)

  • Haga clic en el botón de descarga de Windows Cloud Connector y elija Windows 8/10 de 64 bits

Nota: Asegúrese de realizar el acceso a la plataforma Citrix SIA Cloud a través del explorador Google Chrome. Con Firefox, el instalador puede no descargarse como un .msi (en cuyo caso debe cambiar manualmente el nombre del archivo eliminando .html del archivo).

Instalador de descarga del agente Citrix SIA

  • Deje que el instalador descargue y, a continuación, haga doble clic en el instalador en el panel de descarga o desde la carpeta de descargas donde se almacenó

Citrix SIA Agent Instalar el agente CSIA en Windows

  • Después de hacer doble clic, se presenta una ventana emergente. Haga clic en “Más información” y luego haga clic en “Ejecutar de todos modos”
  • haciendo clic en Ejecutar Anyway comienza a instalar el archivo msi
  • Finalizar la instalación del archivo MSI permitiendo todas las operaciones administrativas

Instalador de ejecución de Citrix SIA Agent

  • Una vez completada la instalación de msi, busque “servicios” en la búsqueda de Windows y abra la ventana de servicios.
    • Busque un servicio por nombre IBSA. Esto confirma que el servicio Citrix SIA Agent se ejecuta en el equipo host.

      Comprobar el estado de Citrix SIA Agent desde Servicios de Windows

    • Compruebe que con el servicio Cloud Agent en ejecución, la IP del proxy que accede a www.ipchicken.com o www.whatsmyip.com es la de los nodos CloudGateway de la cuenta Citrix SIA

Nota: En este punto, con el agente de nube registrado correctamente, la IP debe cambiar a una de las IP POP del nodo de nube. Si la IP que tiene es la del proveedor de servicios NAT IP, puede depurar por qué falló el Agent/Cloud Connector SIA/Cloud Connector.

Proxy de host de servicio Citrix SIA después de la instalación del agente CSIA

  • Si el registro en la nube se realiza correctamente desde Cloud Connector (SIA Agent), observe el nombre de usuario y todos los demás detalles con un registro de agente correcto

Nota: Si NO ve su nombre de usuario y otros detalles, el registro del agente de usuario debe tener algunos problemas.

  • Ir a grupos de usuarios y dispositivos -> Dispositivos conectados a la nube

Registro de agente de Citrix SIA correctamente

  • Con el registro correcto del agente, observe el tráfico del agente en Citrix SIA Reporter en el Panel de control de tiempo real o Registros de eventos

Nota: Si tiene instalado un agente, observe el nombre de usuario para que aparezca explícitamente con el grupo que se estableció durante la descarga/instalación del agente, incluida la IP de origen privado.

Informes de tráfico del agente Citrix SIA

Configuración

En este caso de uso, utilizamos Citrix SIA Cloud Connector (SIA Agent) para separar y hacer proxy a Citrix SIA Cloud directamente mediante el servicio Internet, de modo que se pueda acceder de forma fiable a las cargas de trabajo de DC a través de la ruta virtual superpuesta de Citrix SD-WAN

Sin Citrix SIA, necesitaríamos usar backhaul en aplicaciones SaaS empresariales sensibles al centro de datos para proporcionar seguridad. Pero esto induce una latencia considerablemente, lo que deteriora considerablemente la entrega y la experiencia de la aplicación.

Con Citrix SIA, el backhaul ya no es necesario. El agente Citrix SIA ayuda a proxy de las conexiones SaaS empresariales a Citrix SIA Cloud directamente. A continuación, Citrix SIA crea una infraestructura de perímetro de servicio segura en la rama o perímetro.

Práctica recomendada: Se recomienda que el tráfico de Cloud Connector de dispositivos administrados corporativos se omita desde el túnel IPSec local de Citrix SD-WAN en el borde de la sucursal. Esto permite un proxy directo a Citrix SIA, donde las unidades organizativas empresariales o los grupos de seguridad se pueden ejercer directamente a través de conectores en la nube en los dispositivos administrados.

Para permitir que el conector en la nube de Citrix SIA use Call Home sin problemas al clúster de puerta de enlace de Citrix SIA y a los PoP, es fundamental omitir el tráfico basado en el conector de nube desde el túnel IPSec.

  • Cree una nueva APP personalizada con las siguientes listas IP/puerto/protocolo

    Omitir Citrix SIA Agent desde la aplicación de túnel IPSec en Orchestrator

  • Asocie la aplicación personalizada a Internet Breakout para que el tráfico del agente SIA o Cloud Connector se pueda omitir desde el túnel y enviarse directamente a través del Servicio Internet

Seguridad Web - Directivas de categoría

  • Haga clic en Seguridad Web -> Directivas de seguridad Web -> Categorías Web/SSL
  • Elija el grupo como “POC_DEMO_Group” ya que el agente SIA está instalado para ese grupo)

    Asociar grupo de seguridad a la seguridad web

  • Activar el bloqueo de categorías de amistad y juego

    Habilitar seguridad web para la categoría

  • GUARDAR la configuración en “POC_demo_group” SÓLO

    Guardar configuración de seguridad web

Seguridad Web - Verificación de directivas de categoría

  • Abrir una ventana de incógnito de un explorador
  • Access 777.com (Un sitio de juego)

    Acceda al sitio web 777 de Gambling

Tan pronto como se accede al sitio, aparece la página de presentación bloqueando el tráfico (según lo exigir el administrador en la directiva POC_Demo_Group

También puede ver que el nombre del grupo es visible incluyendo la IP local privada del host final y el nombre de usuario

  • La descripción también indica la categoría a la que se accede

    777 Sitio web bloqueado juegos de azar

  • Los registros de eventos informantes indican el bloqueo de acceso al sitio de juego

    777 Sitio Web bloqueado Panel de informes

  • Abrir una ventana de incógnito de un explorador
  • Acceder a facebook.com (sitio de categoría Amistad)

Tan pronto como se accede al sitio, aparece la página de presentación bloqueando el tráfico (según lo exigir el administrador en la directiva POC_Demo_Group

También puede ver que el nombre del grupo es visible incluyendo la IP local privada del host final y el nombre de usuario

  • La descripción también indica la categoría a la que se accede

    Sitio web de Facebook Bloqueado Amistad

  • El reportero también muestra que Facebook de la categoría Amistad está bloqueado.

    Estadísticas de informes de sitios web de Facebook

Seguridad Web - Lista de permitirles

Crear una lista de permitidos simple para permitir SOLO Facebook de toda la categoría Amistad que está actualmente BLOQUEADA

  • Vaya a Seguridad Web -> Directivas de seguridad Web -> Lista de permitidas

    Permitir sección de lista

  • Agregue una lista de permitidos en el rango URL/IP indicando facebook.com y haga clic en “+Agregar”

    Permitir lista Regla Agregar

  • Observe que la lista de permitidos muestra la URL agregada para ser permitida

    Confirmación de adición de regla de lista

Seguridad Web - Informes

  • Abre una ficha de explorador de incógnito y accede a facebook.com
  • Facebook parece permitido, pero se puede ver que NO está completamente cargado como una página

Nota: Esto se debe a que hay otras URL relacionadas de las que depende facebook.com, que también deben estar en la lista de permitidos para que toda la página/dominio se abra correctamente.

Práctica recomendada: Para Permitir/Bloquear Lista — SCRAPE y agregar todos los dominios si está permitido.

Bloqueo de Facebook sin rasguños

  • Ir a la lista de permitidos bajo Seguridad web
    • Seguridad Web -> Directivas de seguridad Web -> lista de permitidas
    • Haga clic en raspar
    • Escriba facebook.com y haga clic en Escanear
    • Agregar todos los dominios a la lista de permitidos

      Cómo raspar una lista de permitidas

  • Ahora abre facebook.com en un explorador de incógnito y se abre completamente

    Publicar lista de permitidos de raspado funciona bien para Facebook

  • Aviso de los registros de eventos de reportero que Facebook.com ahora está permitido y no más bloqueado ya que se agregó a la lista de permitidos
  • la lista de permitir tiene más prioridad que el bloqueo de categorías

    Permitir lista Estadísticas de informes de tráfico

CASB - Directivas

Crear una regla CASB para habilitar la búsqueda segura en el explorador Google y inhabilitar el acceso a gmail.com

  • Vaya a CASB -> Controles de aplicaciones CASB -> Cloud App Controls
    • Seleccione Grupo como “POC_demo_group”
    • En Controles del motor de búsqueda -> Aplicación de búsqueda segura de Google
    • Seleccione “Aplicar búsqueda segura para el grupo actual”
    • Bajo Controles de Google
      • Activar Bloquear Google Drive
    • Haga clic en “GUARDAR”

    Controles de aplicaciones CASB

Presentación de informes CASB

Control de bloqueo de Google Drive:

  • Acceder a drive.google.com en una ficha de explorador de incógnito
  • Tan pronto como accedamos a Google Drive, aparece una página de bienvenida. Esto se debe al control CASB de Google Drive ejercido en el grupo de seguridad POC_Demo_Group

    CASB Google Drive bloqueado

  • Los registros de eventos del reportero también indican el acceso a Google Drive bloqueado
  • Estado de la categoría “Google Drive Bloqueado” ya que proviene de los controles CASB

    Estadísticas de informes de tráfico de acceso CASB

Activación de Google Browser Safe Search:

  • Acceder a google.com en una ficha de explorador de incógnito
  • En cuanto accedamos, google.com se abre con una barra de búsqueda
  • Introduzca Citrix o cualquier palabra clave e inicie la búsqueda
  • Observe que los resultados de la búsqueda se filtran, ya que la búsqueda segura está encendida y se indica tan pronto como la palabra clave se introduce en el motor

    Google Safe Search CASB Control

Defensa antimalware - Configuración

Nota: El descifrado SSL debe estar habilitado (si se utiliza y configura Cloud connector para instalar automáticamente el certificado raíz como parte de la instalación del agente, esta función se habilita de forma predeterminada).

  • Vaya a Seguridad Web -> Protección contra malware -> Protección contra malware en la nube
  • El motor de contenido debe estar listo
  • Haga clic en Bloquear en el error de exploración para habilitarlo

    Comprobar la configuración de defensa contra malware

Anti Malware - Verificación

  • Acceda a https://www.eicar.org/?page_id=3950
  • Desplácese hacia abajo y haga clic en descargar el archivo de 68 bytes

    Preparar software malicioso Descargar Eicar

  • Una vez que se inicia la descarga del archivo, aparece una pantalla de presentación. La página está bloqueada debido a una detección de virus o malware.

    Acceso bloqueado de descarga de malware

Verificación a través de la Sección de Informes de CSIA

  • Reporter también indica que se aplica la protección contra malware

    Estadísticas de informes de malware

DLP - Configuración

  • Asegúrese de que el motor de análisis y contenido de DLP esté listo y que la configuración se realice correctamente
    • Haga clic en “Sí” para análisis de contenido y prevención de pérdida de datos
    • Asegúrese de que el motor de análisis de contenido esté listo
    • Para la PoC, permitir la selección predeterminada para los motores de contenido y los motores de análisis

    Comprobación de configuración de DLP

  • Crear una regla DLP para que Data Loss Prevention se pueda aplicar en la carga o descarga de contenido no autorizado
    • Ir a la ficha Prevención de pérdida de datos
    • Reglas de Clcik DLP
    • Haga clic en “+Agregar regla”
    • En la ficha Información general:
    • Asegúrese de que la regla habilitada sea “SÍ”
    • Proporcionar un nombre para la regla
    • Habilite los métodos HTTP de PUT a POST para que podamos aplicar DLP en las cargas
    • Dejar los motores de contenido por defecto

    Crear regla DLP

  • En las fichas DLP de orígenes de red a tipos de contenido
    • Elija la directiva como “Incluir todos excepto los elementos seleccionados”
    • Permitir valores predeterminados en la ficha Criterios de búsqueda
    • Seleccione Acción como “BLOQUEAR”

    Acción de DLP para bloquear

DLP - Informes

  • Ir a https://dlptest.com (un sitio para verificar las pruebas de Prevención de pérdida de datos)
  • Haga clic en Datos de muestra y vea información de muestra
  • Haga clic en Archivo XLS (Esto descarga el archivo)

    Descarga del sitio de prueba DLP Excel

  • Vea el archivo se descarga con el nombre “sample-data.xls” en la carpeta Descargas (o carpeta que ha seleccionado)
  • Utilice este archivo para probar DLP en un nuevo sitio siguiente

  • Ahora abra una nueva ficha de incógnito del explorador y escriba https://dataleaktest.com
    • Haga clic en Subir prueba
    • En la página de prueba de carga, desplácese hacia abajo y haga clic en “SSL ON”
    • Después de hacer clic en SSL ON, puede ver el mensaje en la pantalla negra “System Ready for Next DLP Test with SSL ON”

    Prueba DLP del sitio de fuga de datos con SSL ON

  • Ahora haga clic en Explorar
    • Seleccione el archivo que previamente descargamos el archivo sample-data.xls y UPLOAD

    Cargar archivo confidencial DLP

  • Al cargar el archivo confidencial (que contiene SSN), aparece una pantalla de presentación. La página está bloqueada debido a la detección de contenido no autorizado (DLP)

    Acceso a datos confidenciales de DLP restringido

  • Verifique los registros de Reporter para eventos DLP:
    • Haga clic en Más filtros
    • Elija el tipo de registro como DLP y haga clic en “Buscar”
    • Observe que la carga de DLP se bloquea

    Estadísticas de informes de DLP

Desinstalación del agente SIA

  • Para iniciar el proceso de desinstalación del agente Citrix SIA, haga clic con el botón derecho en el instalador de Citrix SIA descargado anteriormente (desde la carpeta en la que se descargó)
    • Seleccione desinstalar

    Iniciar la desinstalación del agente CSIA

  • Seleccione SÍ para “¿Está seguro de que quiere desinstalar este producto”

    Aceptar agente de desinstalación

  • Siga el proceso de desinstalación y administrativamente diga “Sí” para desinstalar si se le pide
  • Vaya a Servicios en Windows y compruebe que el servicio IBSA está desinstalado correctamente y no existe

    Comprobar el agente CSIA desinstalado en los servicios de Windows

  • Verifique la IP del proxy
    • La IP del proxy es una de las IP del nodo de Citrix SIA CloudGateway. Esto se debe a que, el portátil de prueba que estamos mediante para PoC está detrás de Citrix SD-WAN cuyo túnel IPSec sigue funcionando con el servicio en la nube Citrix SIA

    • Una vez desinstalado el agente, todo el tráfico pasa a través del túnel IPSec

Caso de uso 2 de PoC: Endpoints no administrados sin SIA Agent + Citrix SD-WAN

En este caso de uso, utilizamos el túnel IPSec de Citrix SIA para proteger dispositivos no administrados como BYOD, dispositivos personales e invitados detrás de una sucursal SD-WAN. Los dispositivos administrados con Citrix SIA en el agente de sucursal omiten el túnel y se conectan directamente a la plataforma Citrix SIA.

Práctica recomendada: Se recomienda que, en caso de que no haya agentes de Cloud Connector en dispositivos, una sucursal administrada por Citrix SD-WAN utilice el túnel IPSec para administrar las directivas de seguridad de esos dispositivos de forma segura con la plataforma Citrix SIA.

Nota: Los túneles que se configuran de forma predeterminada no tienen habilitado el descifrado SSL de forma predeterminada.

Con solo el túnel IPSec, solo obtenemos las siguientes funciones:

  • Seguridad Web (basada en categorías)
  • Lista de permitir
  • Lista de bloqueados

El descifrado SSL a través del túnel está cubierto en el siguiente caso de uso de PoC para ejercer la seguridad total a través del túnel IPSec

Web Security - Bloque de categorías

Antes de verificar la aplicación de directivas a través del túnel IPSec, cree las directivas de seguridad en el portal en la nube de Citrix SIA

  • Vaya a Seguridad Web -> Directivas de seguridad Web -> Categorías Web/SSL
  • Haga clic en Grupo de seguridad predeterminado cuando se crea el túnel IPSec en general con el grupo de seguridad predeterminado

Nota: Si quiere cambiar el grupo, debe hacerlo manualmente en Subredes Locales para la entrada que tiene el túnel IPSec.

Caso de uso 2 Grupo de seguridad web

  • Activar el bloqueo de CATEGORÍAS a través del túnel IPSec para las categorías de juego

Habilitar la seguridad web para el caso de uso de la categoría 2

Seguridad Web - Lista de permitirles

  • Agregar una lista de permitidos a la categoría Amistad para permitir SOLO Linkedin pero bloquear todas las demás categorías de redes sociales

Nota: Según la práctica recomendada definida, raspe y resuelva otras dependencias de URL antes de agregarlas a una lista de permitido/bloqueo para ejercer completamente la funcionalidad del filtrado web de URL

Configuración del caso de uso 2 de la lista permitidos

Caso de uso de configuración guardada de lista permitidos 2

Seguridad Web - Lista de bloqueo

  • Configurar una lista de bloqueo específica a través del filtrado web de URL para un sitio como notpurple.com

    • Vaya a Seguridad Web -> Directivas de seguridad Web -> Lista de bloqueos
    • Agregar una URL web “notpurple.com” a la lista de bloqueo

    Caso de uso 2 de la lista bloqueada

Seguridad Web - Verificación de bloques de categoría

  • Abre una ficha de explorador de incógnito y accede al sitio de juegos de azar 777.com de la categoría Gambling
  • Se presenta una página de presentación debido a la aplicación de la directiva de lista de bloqueos

    Web Categoría 777 bloqueada a través del túnel IPsec

  • Desde el reportero podemos ver incluso en los registros que el acceso a 777.com está categóricamente bloqueado debido a la sección de JUEGO
    • Haga clic en Informes y análisis -> Registros -> Registros de eventos
    • Haga clic en Buscar
    • Si es necesario, haga clic en Más filtrosy seleccione Acción -> Bloqueado para filtrar todos los eventos registrados que están bloqueados

    Categoría Web 777 bloqueada a través de IPSec Tunnel Reporting Stats

  • Abre una ficha de explorador de incógnito y accede al sitio facebook.com desde la categoría Amistad
  • Tenga en cuenta que el sitio no se abre (Facebook es inaccesible ya que está bloqueado)

    Categoría Web Facebook Bloqueado Caso de uso 2

  • Desde el reportero podemos ver incluso en los registros que el acceso a facebook.com está categóricamente bloqueado debido a la sección AMISTAD

    • Haga clic en Informes y análisis -> Registros -> Registros de eventos
    • Haga clic en Buscar
    • Si es necesario, haga clic en Más filtrosy seleccione Acción -> Bloqueado para filtrar todos los eventos registrados que están bloqueados

    Categoría Web Facebook bloqueado Estadísticas de informes Caso de uso 2

Seguridad Web - Verificación del túnel IPSec

  • Inicialmente habíamos configurado LinkedIn para que quedara exento de la categoría Amistad para ser bloqueado a través de la configuración selectiva de listas de permitidos.
  • Accede a linkedin.com desde la categoría Amistad en una ficha de explorador de incógnito
  • Podemos ver que el acceso está permitido y la página se abre

    Caso de uso 2 de LinkedIn Lista Permitida

  • El reportero también muestra el tráfico que se va a permitir y NO bloqueado debido a que la configuración de la lista de permitir tiene prioridad al bloqueo de categorías

    Caso de uso 2 de las estadísticas de reportero de Linkedin

  • Finalmente, acceda a un sitio web específico notpurple.com que está en la lista de bloqueos y vea que cuando se accede a través del túnel se bloquea
  • Abra una ficha de explorador de incógnito y acceda a notpurple.com
  • Recibimos una página de bienvenida inmediata que bloquea el acceso al sitio

    Caso de uso 2 de la lista bloqueada

  • El reportero también muestra el tráfico que se bloqueará ya que está configurado explícitamente como parte de la lista de bloqueos

    Estadísticas de reportero de caso de uso de la lista bloqueada 2

Descifrado SSL de túnel IPsec

Los túneles que se configuran generalmente vienen inhabilitados con descifrado SSL, a menos que se establezcan explícitamente. Una vez que el túnel IPSec está habilitado para el descifrado SSL, es capaz de realizar TODAS las funciones de seguridad avanzadas como Malware Defense, DLP, CASB, etc.

Sin embargo, existen algunos requisitos previos, sin los cuales la seguridad avanzada NO SE PUEDE habilitar en el túnel IPSec con Citrix SIA cloud

Importantes 3 requisitos previos:

  1. Habilite Proxy SSL transparente en “Proxy/Caching -> Descifrado SSL -> Configuración general”
  2. Habilitar el descifrado SSL en el túnel IPSec en las subredes locales
  3. Descargue e instale el certificado ROOT desde Citrix SIA Cloud e instale en el dispositivo del usuario final bajo autoridades raíz de confianza (para habilitar el descifrado SSL por parte de la plataforma)

Descifrado SSL transparente

Para habilitar el túnel IPSec para permitir el descifrado SSL, debe habilitarse el descifrado SSL transparente.

Nota: El descifrado SSL se puede aplicar para TODOS los túneles IPSec dependiendo de cómo lo administremos. Podemos elegir el descifrado SSL para TODAS las subredes o habilitar manualmente el descifrado SSL por subred local de un túnel IPsec.

Para esta demostración PoC, habilitamos un túnel explícito con descifrado SSL y seleccionamos de la configuración general el valor “Subredes locales con descifrado SSL habilitado”

  • Habilitar el descifrado SSL de proxy — SÍ
  • Realizar descifrado SSL en — Todos los destinos
  • Habilitar descifrado SSL transparente — SÍ
  • Realizar descifrado SSL transparente en: Subredes locales con descifrado SSL habilitado
  • Deje que otros se predeterminen

    Configuración de descifrado de proxy y SSL para el túnel IPSec

Descifrado de túnel IPsec para subredes locales

Nota: Habilite el descifrado en el túnel después de configurarlo en el portal SIA (Desde Orchestrator).

  • Haga clic en Red -> Subredes locales -> Edición rápida de subredes locales (como se muestra en la siguiente instantánea)

    Edición rápida de subred local

  • Todos los túneles IPSec creados necesitan una subred local que defina la subred LAN local de los hosts finales protegidos por el túnel IPSec.
  • Elija el túnel IPSec basado en el nombre y la subred local
  • La subred local se crea automáticamente con la subred LAN local del sitio de Citrix SIA
  • Haga clic en la casilla SSL para habilitar el descifrado SSL

    Activar descifrado

  • En la ventana Edición rápida, haga doble clic en Directiva predeterminada.
  • La directiva predeterminada indica el grupo de seguridad que se aplica a TODO el tráfico comprendido en la subred local (con red LAN definida)
  • Seleccione “POC_demo_group”
  • Además, haga doble clic en Grupo de inicio de sesión y seleccione “POC_demo_group”

    Seleccionar grupo de seguridad no predeterminado para PoC

Certificado raíz

La instalación del certificado raíz de Citrix SIA SSL en el explorador de dispositivos no administrados es una necesidad para el descifrado SSL. El descifrado SSL es necesario para aplicar capacidades de seguridad avanzadas como CASB, defensa contra malware, DLP, etc.

Nota: La instalación del certificado ROOT es un proceso MANUAL o debe realizarse a través de GPO (objeto de directiva de grupo) o MDM o la empresa que presenta una página de presentación que determina cómo instalar el certificado raíz en los dispositivos iniciadores.

  • Vaya a Proxy y almacenamiento en caché -> Descifrado SSL -> Acciones -> Generar y descargar un nuevo certificado raíz MITM

    Generar y descargar el certificado SSL raíz

  • Se descarga un certificado. Haga clic en el nuevo certificado raíz MITM descargado

    Instalar certificado SSL en un dispositivo no administrado

  • Haga clic en “Abrir” al hacer doble clic en el certificado

    Haga clic en Abrir el certificado

  • Verifique que el certificado tiene problemas mediante “Seguridad de red” y es válido

    Verificación del emisor en el certificado SSL

  • Esto nos lleva al mago. En Ubicación del almacén, seleccione “Usuario actual” y haga clic en “Siguiente”

    Seleccionar usuario actual

  • Haga clic en “Colocar todos los certificados en el siguiente almacén” y haga clic en “Examinar”

    Examinar carpeta para el certificado SSL

  • Haga clic en “Entidades emisoras raíz de confianza” y haga clic en “Aceptar”

    Seleccionar autoridades raíz de confianza

  • Observe después del paso 6; el almacén de certificados se actualiza con “Entidades emisoras de certificados raíz de confianza” Haga clic en “Siguiente”

  • Haga clic en “Finalizar”

    Finalizar la instalación del certificado

  • Observe que aparece una ventana que indica que la importación se realizó correctamente. Haga clic en Aceptar para la ventana emergente y, a continuación, haga clic en “Aceptar” en la ventana de instalación del certificado

    Importación de certificados SSL correcta

  • Una vez instalado, confirme que un certificado del emisor “Seguridad de red” está presente en Entidades emisoras de certificados raíz de confianza.

En Windows: Busque certmgr en el cuadro de búsqueda y puede abrir el administrador de certificados

  1. Navegue y haga clic en Entidades emisoras raíz
  2. Haga clic en certificados
  3. Verificar un certificado por el nombre “Seguridad de red” (Resaltado)

Si se encuentra el certificado, la instalación se realiza correctamente y se completan los requisitos previos para probar el descifrado SSL a través del túnel IPSec

Certificado SSL en el Administrador de certificados de Windows

Caso de uso de PoC 3: Endpoints no administrados sin SIA Agent + Citrix SD-WAN con cifrado SSL

En este caso de uso, utilizaremos el túnel IPSec de Citrix SIA con descifrado SSL y ejerceremos funciones de seguridad avanzadas de la nube de Citrix SIA como CASB, Malware Defense, DLP, etc.

El túnel IPSec de Citrix SIA permite que los dispositivos no administrados como BYOD, dispositivos personales e invitados se gestionen de forma segura detrás de una sucursal SD-WAN. Los dispositivos con el agente omiten el túnel y se aplican las directivas.

Práctica recomendada: Se recomienda que, en caso de que no haya agentes de Cloud Connector en dispositivos, una sucursal administrada por Citrix SD-WAN utilice el túnel IPSec para administrar las directivas de seguridad de esos dispositivos de forma segura con la plataforma Citrix SIA.

CASB — Configuración de directivas

Creamos una regla CASB para permitir la búsqueda segura en el explorador Google y también inhabilitar el acceso a gmail.com

  • Vaya a CASB -> Controles de aplicaciones CASB -> Cloud App Controls
    • Seleccione Grupo como “POC_demo_group”
    • En Controles del motor de búsqueda -> Aplicación de búsqueda segura de Google
  • Seleccione “Aplicar búsqueda segura para el grupo actual”
  • Bajo Controles de Google
    • Activar Bloquear Google Drive
  • Haga clic en “GUARDAR”

    Controles de aplicaciones CASB

CASB - Verificación

Activación de Google Browser Safe Search

  • Acceder a google.com en una ficha de explorador de incógnito
  • Tan pronto como accedemos, obtenemos google.com con una barra de búsqueda
  • Introduzca Citrix o cualquier palabra clave e inicie la búsqueda
  • Vemos que los resultados de búsqueda se filtran ya que la búsqueda segura está ON y se indica tan pronto como la palabra clave se introduce en el motor

    Estadísticas de informes de tráfico de acceso CASB

Control de bloqueo de Google Drive

  • Acceder a drive.google.com en una ficha de explorador de incógnito
  • Tan pronto como accedemos, obtenemos una página de presentación indicando que el acceso a Google Drive está bloqueado debido al control CASB ejercido en el grupo de seguridad POC_Demo_Group

    CASB Google Drive bloqueado

  • Los registros de eventos del reportero también indican el acceso a Google Drive bloqueado
  • Estado de la categoría “Google Drive Bloqueado” ya que proviene de los controles CASB

    CASB Google Drive bloqueado a través del túnel SSL IPsec

Anti Malware - Configuración

Nota: El descifrado SSL debe estar habilitado (si se utiliza y configura el conector Cloud para instalar automáticamente el certificado raíz como parte de la instalación del agente y esta función está habilitada de forma predeterminada)

  • Goto Web Security -> Protección contra malware -> Protección contra malware en la nube
  • El motor de contenido debe estar listo
  • Haga clic en Bloquear en el error de exploración para habilitarlo

    Configuración de malware a través del túnel IPsec habilitado para SSL

Anti Malware - Verificación

Verificación

  • Una vez que se inicia la descarga del archivo, aparece una pantalla de presentación. La página está bloqueada debido a la detección de virus.

    Verificar la descarga de malware a través del túnel IPsec habilitado para SSL

  • Reporter también indica que se aplica la protección contra malware

    Estadísticas de Malware Reporter a través del túnel IPSec habilitado para SSL

DLP - Configuración

Configuración de la prevención de pérdida de datos

  • Haga clic en la ficha Prevención de pérdida de datos -> Configuración de DLP
  • Haga clic en “Sí” para análisis de contenido y prevención de pérdida de datos
  • Asegúrese de que el motor de análisis y contenido de DLP esté listo y que la configuración se realice correctamente
  • Para la PoC, permitir la selección predeterminada para los motores de contenido y los motores de análisis

    Comprobación de configuración de DLP

  • Crear una regla DLP para que Data Loss Prevention se pueda aplicar en la carga o descarga de contenido no autorizado
    • Ir a la ficha Prevención de pérdida de datos
    • Haga clic en Reglas DLP
    • Haga clic en “+Agregar regla”
    • En la ficha Información general:
    • Asegúrese de que la regla habilitada sea “SÍ”
    • Proporcionar un nombre para la regla
    • Habilite los métodos HTTP de PUT y POST para que podamos aplicar DLP en las cargas
    • Dejar los motores de contenido por defecto

    Crear regla DLP

    • En las fichas DLP desde Orígenes de red hasta Tipos de contenido
      • Elija la directiva como “Incluir todos excepto los elementos seleccionados”
    • Permitir valores predeterminados en la ficha Criterios de búsqueda
    • Seleccione Acción como “BLOQUEAR”

    Acción de DLP para bloquear

DLP - Verificación

  • Ir a https://dlptest.com (un sitio para verificar las pruebas de Prevención de pérdida de datos)
  • Haga clic en Datos de muestra y vea información de muestra
  • Haga clic en Archivo XLS (Esto descarga el archivo)

    Descarga del sitio de prueba DLP Excel

  • Vea el archivo se descarga con el nombre “sample-data.xls” en la carpeta Descargas (o carpeta que ha seleccionado)

  • Ahora abra una nueva ficha de incógnito del explorador y escriba https://dataleaktest.com
    • Haga clic en Subir prueba
    • En la página de prueba de carga, desplácese hacia abajo y haga clic en “SSL ON”
    • Después de hacer clic en SSL ON, puede ver el mensaje en la pantalla negra “System Ready for Next DLP Test with SSL ON”

    Prueba DLP del sitio de fuga de datos con SSL ON

  • Ahora haga clic en Explorar
    • Seleccione el archivo que previamente descargamos el archivo sample-data.xls y UPLOAD

    Cargar archivo confidencial DLP

  • Al cargar el archivo confidencial (que contiene SSN), aparece una pantalla de presentación. La página está bloqueada debido a la detección de contenido no autorizado.

    Bloque de datos confidenciales DLP mediante túnel IPSec habilitado para SSL

Verifique los registros de Reporter para eventos DLP:

  • Haga clic en Más filtros
  • Elija el tipo de registro como DLP y haga clic en “Buscar”
  • La carga de DLP se bloquea y se presenta una página de presentación al usuario

    Estadísticas de reportero de DLP a través del túnel habilitado SSL

Resumen

En esta guía de prueba de concepto, aprendió a integrar los dispositivos SD-WAN perimetrales de una organización con Citrix SIA Cloud. En conjunto, Citrix SD-WAN y Citrix SIA proporcionan a las empresas mejoras de rendimiento y beneficios de seguridad junto con una gran experiencia de usuario.

Prueba de concepto: Citrix Secure Internet Access con Citrix SD-WAN

En este artículo