Product Documentation

Control de acceso de red

21 de febrero de 2018

Si tiene un dispositivo de control de acceso a la red (Network Access Control, NAC) configurado en la red, como Cisco ISE, puede habilitar filtros en XenMobile para configurar dispositivos como conformes o no conformes a NAC, en función de reglas o propiedades. Si un dispositivo administrado en XenMobile no cumple los criterios especificados, XenMobile lo marca como “No conforme”. Un dispositivo NAC bloquea dispositivos no conformes que haya presentes en su red.

Para dispositivos iOS, puede implementar la directiva VPN y habilitar un filtro NAC para bloquear una conexión VPN cuando se trata de dispositivos que tienen instaladas aplicaciones no conformes. Para obtener más información, consulte Configuración de NAC para iOS más adelante en este artículo.

En la consola de XenMobile, seleccione los criterios de la lista para establecer un dispositivo como no conforme.

XenMobile da respaldo a los siguientes filtros de conformidad para NAC:

Dispositivos anónimos: Comprueba si un dispositivo está en modo anónimo. Esta comprobación está disponible si XenMobile no puede volver a autenticar al usuario cuando un dispositivo intenta reconectar.

Atestación de Samsung KNOX fallida: Comprueba si un dispositivo falló una consulta del servidor de atestación de Samsung KNOX.

Aplicaciones prohibidas: Comprueba si un dispositivo tiene aplicaciones prohibidas, según se definen en la directiva Acceso a aplicaciones. Para obtener más información acerca de la directiva Acceso a aplicaciones, consulte Directivas de acceso a aplicaciones.

Dispositivos inactivos: Comprueba si un dispositivo está inactivo según se define en el parámetro “Umbral de días de inactividad” en “Propiedades de servidor”. Para obtener más información, consulte Propiedades del servidor.

Aplicaciones obligatorias que faltan: Comprueba si en un dispositivo faltan aplicaciones obligatorias, según se definen en la directiva Acceso a aplicaciones.

Aplicaciones no sugeridas: Comprueba si un dispositivo tiene aplicaciones no sugeridas, según se definen en la directiva Acceso a aplicaciones.

Contraseña no conforme: Comprueba si la contraseña del usuario cumple los requisitos de conformidad. En dispositivos iOS y Android, XenMobile puede determinar si la contraseña actual del dispositivo cumple los requisitos de conformidad con la directiva “Código de acceso” enviada al dispositivo. Por ejemplo, en iOS, el usuario tiene 60 minutos para definir una contraseña si XenMobile envía una directiva “Código de acceso” al dispositivo. Antes de que el usuario defina la contraseña, el código de acceso podría no cumplir los requisitos de conformidad.

Dispositivos no conformes: Comprueba si un dispositivo ya no es conforme, según lo definido en la propiedad de dispositivo No conforme. Por regla general, las acciones automatizadas o el uso que un tercero hace de las API de XenMobile modifican esa propiedad.

Estado revocado: Comprueba si el certificado del dispositivo fue revocado. Un dispositivo revocado no se puede volver a inscribir hasta que se autorice de nuevo.

Dispositivos Android o iOS liberados por root/jailbreak: Comprueba si un dispositivo iOS está liberado por jailbreak o un dispositivo Android está liberado por rooting.

Dispositivos no administrados: Comprueba si un dispositivo aún está en estado administrado, bajo el control de XenMobile. Por ejemplo, un dispositivo que se ejecute en modo MAM o que se haya desinscrito no es un dispositivo administrado.

Nota:

El filtro “Conformidad/No conformidad implícita” establece el valor predeterminado solo en los dispositivos que administra XenMobile. Por ejemplo, el dispositivo NAC marca como no conformes los dispositivos que tienen instalada una aplicación prohibida o que no están inscritos. La red que usted tenga bloquea esos dispositivos.

Configuración de NAC para iOS

A través de las configuraciones de directivas en NetScaler, XenMobile admite el Control de acceso a la red (NAC) como una función de seguridad de punto final para dispositivos iOS. Puede habilitar un filtro NAC para bloquear una conexión VPN para dispositivos que tienen instaladas aplicaciones no conformes. Cuando la conexión VPN está bloqueada, el usuario no puede acceder a ninguna aplicación o sitio Web a través de la VPN.

Por ejemplo, en la directiva Acceso a aplicaciones, usted clasifica una aplicación concreta como Prohibida o en la lista negra. Un usuario instala esa aplicación. Cuando ese usuario abre Citrix SSO e intenta conectarse a la VPN, la conexión se bloquea. Aparece el error: Error al procesar la solicitud. Póngase en contacto con el administrador.

La configuración requiere que actualice las directivas de NetScaler para admitir NAC. En la consola de XenMobile, habilite los filtros NAC e implemente la directiva VPN. Para que esta característica funcione en los dispositivos, los usuarios deben instalar el cliente VPN de Citrix SSO desde la tienda de Apple.

Los filtros NAC admitidos son:

  • Dispositivos de usuarios anónimos
  • Aplicaciones prohibidas
  • Dispositivos inactivos
  • Faltan aplicaciones necesarias
  • Aplicaciones no sugeridas
  • Contraseña no conforme
  • Dispositivos que no cumplen los requisitos
  • Estado revocado
  • Dispositivos Android o iOS liberados por jailbreak o root
  • Dispositivos no administrados

Requisitos previos

  • NetScaler 12
  • XenMobile Server 10.18.2
  • Citrix SSO 1.0.1 instalado en los dispositivos

Para actualizar las directivas de NetScaler para admitir NAC

Las directivas de autenticación y sesiones de VPN que configure deben ser avanzadas. En su servidor de VPN virtual desde una ventana de consola, haga lo siguiente. Las direcciones IP en los comandos y los ejemplos son ficticias.

Con estos pasos, se actualiza un NetScaler que está integrado con un entorno XenMobile. Si tiene un NetScaler Gateway que está configurado para VPN y no forma parte del entorno de XenMobile, pero puede comunicarse con XenMobile Service, también puede seguir estos pasos.

  1. Elimine y desenlace todas las directivas clásicas si las utiliza en su servidor de VPN virtual. Para verificar, escriba:

    show vpn vserver <VPN_VServer>

    Elimine todos los resultados que contengan la palabra Classic. Por ejemplo: Nombre de directiva de sesión de VPN: PL_OS_10.10.1.1 Tipo: Classic Prioridad: 0

    Para eliminar la directiva, escriba:

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Cree la directiva de sesión avanzada correspondiente. Para ello, escriba lo siguiente.

    add vpn sessionPolicy \<policy_name> <rule> <session action>

    Por ejemplo: add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Enlace la directiva a su servidor de VPN virtual. Para ello, escriba lo siguiente.

    bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100

  4. Cree un servidor virtual de autenticación. Para ello, escriba lo siguiente.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Por ejemplo: add authentication vserver authvs SSL 0.0.0.0 En el ejemplo, 0.0.0.0 significa que el servidor virtual de autenticación no es público.

  5. Enlace un certificado SSL con el servidor virtual. Para ello, escriba lo siguiente.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate> For example: bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY\

  6. Asocie un perfil de autenticación al servidor virtual de autenticación desde el servidor de VPN virtual. Primero, cree el perfil de autenticación. Para ello, escriba lo siguiente.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Por ejemplo:

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Asocie el perfil de autenticación al servidor de VPN virtual. Para ello, escriba lo siguiente.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Por ejemplo:

    set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof

  8. Compruebe la conexión desde NetScaler a un dispositivo. Para ello, escriba lo siguiente.

    curl -v -k https://<XenMobile Server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid\_\<device_id>"

    Por ejemplo, esta consulta verifica la conectividad obteniendo el estado de cumplimiento del primer dispositivo (deviceid_1) inscrito en el entorno:

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Debería ver un comando similar al del siguiente ejemplo.

    HTTP/1.1 200 OK
    < Server: Apache-Coyote/1.1
    < X-Citrix-Device-State: Non Compliant
    < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. Si el paso anterior da el resultado correcto, cree la acción de autenticación Web en XenMobile. Primero, cree una expresión de directiva para extraer el ID del dispositivo desde el complemento VPN de iOS. Escriba lo siguiente.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envíe la solicitud a XenMobile. Para ello, escriba lo siguiente. En este ejemplo, la IP de XenMobile es 10.207.87.82.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.207.87.82:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    El resultado correcto para XenMobile NAC es “HTTP status 200 OK”. El encabezado ‘X-Citrix-Device-State’ debe tener el valor de conforme.

  11. Cree una directiva Autenticación con la que asociar la acción. Para ello, escriba lo siguiente.

    add authentication Policy <policy name> -rule <rule> -action <web auth action> For example: add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER("User-Agent").CONTAINS("NAC")" -action xm_nac

  12. Convierta la directiva LDAP existente en una directiva avanzada. Para ello, escriba lo siguiente.

    add authentication Policy \<policy_name> -rule <rule> -action <LDAP action name> For example: add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Agregue una etiqueta de directiva con la que asociar la directiva LDAP. Para ello, escriba lo siguiente.

    add authentication policylabel <policy_label_name> Por ejemplo: add authentication policylabel ldap_pol_label

  14. Asocie la directiva LDAP a la etiqueta de directiva. Para ello, escriba lo siguiente.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Conecte un dispositivo conforme para hacer una prueba de NAC y confirmar la autenticación LDAP correcta. Escriba lo siguiente.

    bind authentication vserver <authentication vserver> -policy <webauth policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Agregue la interfaz de usuario a asociar con el servidor virtual de autenticación. Escriba el siguiente comando para recuperar la identificación del dispositivo.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Enlace el servidor virtual de autenticación. Para ello, escriba lo siguiente.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Cree una directiva LDAP avanzada de autenticación para permitir la conexión Secure Hub. Escriba lo siguiente.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

  19. Configure la directiva VPN. Para obtener información general sobre cómo configurar la directiva VPN, consulte Directiva VPN.

Configuración del control de acceso a la red

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en Control de acceso de red. Aparecerá la página Control de acceso de red.

    Imagen de los parámetros de Control de acceso de red

  3. Marque las casillas de verificación de los filtros Establecer como no conforme que quiera habilitar.

  4. Haga clic en Guardar.

Control de acceso de red