Cas d’utilisation : Rendre l’accès Internet d’entreprise conforme et sécurisé

Le directeur de la sécurité réseau dans une organisation financière veut protéger le réseau d’entreprise contre toute menace externe provenant du Web sous la forme de logiciels malveillants. Pour ce faire, le directeur doit gagner en visibilité pour contourner autrement le trafic crypté et contrôler l’accès aux sites Web malveillants. Le directeur est tenu de faire ce qui suit :

  • Interceptez et examinez tout le trafic, y compris SSL/TLS (trafic crypté), entrant et sortant du réseau d’entreprise.
  • Contournez l’interception des demandes vers des sites Web contenant des informations sensibles, telles que des informations financières de l’utilisateur ou des courriels.
  • Bloquer l’accès aux URL nuisibles identifiées comme servant du contenu nuisible ou pour adultes.
  • Identifiez les utilisateurs finaux (employés) de l’entreprise qui accèdent à des sites Web malveillants et bloquent l’accès à Internet pour ces utilisateurs ou bloquent les URL nuisibles.

Pour réaliser tout ce qui précède, le directeur peut configurer un serveur proxy. Le serveur proxy intercepte tout le trafic chiffré et non chiffré passant par le réseau de l’entreprise. Il demande l’authentification de l’utilisateur et associe le trafic à un utilisateur. Les catégories d’URL peuvent être spécifiées pour bloquer l’accès aux sites Web illégaux/nuisibles, adultes, malveillants et pourriels.

Pour atteindre ce qui précède, configurez les entités suivantes :

  • Serveur de noms DNS pour résoudre les noms d’hôtes.
  • Adresse IP de sous-réseau (SNIP) pour établir une connexion avec les serveurs d’origine. L’adresse SNIP doit avoir accès à Internet.
  • Serveur proxy en mode explicite pour intercepter tout le trafic HTTP et HTTPS sortant.
  • Profil SSL pour définir les paramètres SSL, tels que les chiffrements et les paramètres, pour les connexions.
  • Paire de clé de certificat CA pour signer le certificat du serveur pour l’interception SSL.
  • Stratégie SSL pour définir les sites Web à intercepter et à contourner.
  • Authentification du serveur virtuel, de la stratégie et de l’action pour garantir que seuls les utilisateurs valides ont accès.
  • Collecteur Appflow pour envoyer des données à Citrix Application Delivery Management (ADM).

Les procédures CLI et GUI sont répertoriées pour cet exemple de configuration. Les valeurs d’exemple suivantes sont utilisées. Remplacez-les par des données valides pour les adresses IP, le certificat et la clé SSL et les paramètres LDAP.

Nom Valeurs utilisées dans l’exemple de configuration
Adresse du NSIP 192.0.2.5
Adresse IP du sous-réseau 198.51.100.5
Adresse IP du serveur virtuel LDAP 192.0.2.116
Adresse IP du serveur de noms DNS 203.0.113.2
Adresse IP du serveur proxy 192.0.2.100
Adresse IP MAS 192.0.2.41
Certificat d’autorité de certification pour l’interception SSL ns-swg-ca-certkey (certificat : ns_swg_ca.crt et clé : ns_swg_ca.key)
DN de base LDAP CN = utilisateurs, DC = CTXNSSFB, DC = COM
DN de liaison LDAP CN=Administrateur, CN=Utilisateurs, DC=CTXNSSFB, DC=COM
Mot de passe DN de liaison LDAP ZZZZZ

Utilisation de l’assistant proxy SSL pour configurer l’interception et l’examen du trafic à destination et en provenance du réseau d’entreprise

La création d’une configuration pour intercepter et examiner le trafic chiffré en plus de l’autre trafic à destination et en provenance d’un réseau nécessite la configuration des paramètres proxy, SSLi, des paramètres d’authentification utilisateur et des paramètres de filtrage d’URL. Les procédures suivantes incluent des exemples de valeurs saisies.

Configurer les paramètres du proxy

  1. Accédez à Sécurité > Proxy de transfert SSL > Assistant Proxy de transfert SSL.

  2. Cliquez sur Démarrer, puis sur Continuer.

  3. Dans la boîte de dialogue Paramètres proxy, entrez un nom pour le serveur proxy explicite.

  4. Pour Mode de capture, sélectionnez Explicite.

  5. Entrez une adresse IP et un numéro de port.

    image localisée

  6. Cliquez sur Continue.

Configurer les paramètres d’interception SSL

  1. Sélectionnez Activer l’interception SSL.

    image localisée

  2. Dans Profile SSL, cliquez sur « + » pour ajouter un nouveau profil SSL frontal et activer l’interception des sessions SSLdans ce profil.

    image localisée

  3. Cliquez sur OK, puis sur Terminé.

  4. Dans Sélectionner une paire de clés de certification d’interception SSL, cliquez sur « + » pour installer une paire de clés de certificat d’autorité de certification pour l’interception SSL.

    image localisée

  5. Cliquez sur Installer, puis sur Fermer.

  6. Ajoutez une stratégie pour intercepter tout le trafic. Cliquez sur Lier, puis sur Ajouter.

    image localisée

  7. Entrez un nom pour la stratégie et sélectionnez Avancé. Dans l’éditeur d’expressions, entrez true.

  8. Pour Action, sélectionnez INTERCEPT.

    image localisée

  9. Cliquez sur Créer, puis sur Ajouter pour ajouter une autre stratégie pour contourner les informations sensibles.

  10. Entrez un nom pour la stratégie et, dans Catégories d’URL, cliquez sur Ajouter.

  11. Sélectionnez les catégories Finance et Email et déplacez-les vers la liste Configuré.

  12. Pour Action, sélectionnez BYPASS.

    image localisée

  13. Cliquez sur Créer.

  14. Sélectionnez les deux stratégies créées précédemment, puis cliquez sur Insérer.

    image localisée

  15. Cliquez sur Continue.

    image localisée

Configurer les paramètres d’authentification utilisateur

  1. Sélectionnez Activer l’authentification utilisateur. Dans le champ Type d’authentification, sélectionnez LDAP.

    image localisée

  2. Ajoutez les détails du serveur LDAP.

    image localisée

  3. Cliquez sur Créer.

  4. Cliquez sur Continue.

Configurer les paramètres de filtrage d’URL

  1. Sélectionnez Activer la catégorisation d’URL, puis cliquez sur Lier.

    image localisée

  2. Cliquez sur Ajouter.

    image localisée

  3. Entrez un nom pour la stratégie. Pour Action, sélectionnez Refuser. Pour Catégories d’URL, sélectionnez Illegal/nuisible, Adulte, Malware et SPAM, puis déplacez-les vers la liste Configuré.

    image localisée

  4. Cliquez sur Créer.

  5. Sélectionnez la stratégie, puis cliquez sur Insérer.

    image localisée

  6. Cliquez sur Continue.

    image localisée

  7. Cliquez sur Continue.

  8. Cliquez sur Activer Analytics.

  9. Entrez l’adresse IP de Citrix ADM et pour Port, spécifiez 5557.

    image localisée

  10. Cliquez sur Continue.

  11. Cliquez sur Terminé.

    image localisée

Utilisez Citrix ADM pour afficher les mesures clés pour les utilisateurs et déterminer les éléments suivants :

  • Comportement de navigation des utilisateurs de votre entreprise.
  • Catégories d’URL auxquelles les utilisateurs de votre entreprise accèdent.
  • Navigateurs utilisés pour accéder aux URL ou aux domaines.

Utilisez ces informations pour déterminer si le système de l’utilisateur est infecté par des logiciels malveillants ou comprendre le modèle de consommation de bande passante de l’utilisateur. Vous pouvez affiner les stratégies de votre appliance Citrix SWG pour restreindre ces utilisateurs ou bloquer d’autres sites Web. Pour plus d’informations sur l’affichage des mesures sur MAS, consultez le cas d’utilisation « Inspecter les points de terminaison » dans Cas d’utilisation ADM.

Remarque

Définissez les paramètres suivants à l’aide de l’interface de ligne de commande.

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED

Exemple CLI

L’exemple suivant inclut toutes les commandes utilisées pour configurer l’interception et l’examen du trafic à destination et en provenance du réseau d’entreprise.

Configuration générale :

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED

Configuration de l’authentification :

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1

Configuration du serveur proxy et de l’interception SSL :

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

Configuration des catégories d’URL :

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ

Configuration AppFlow pour extraire des données dans Citrix ADM :

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1