Citrix Application Delivery Management service

Activer la collecte de données pour les appliances Citrix ADC Gateway déployées en mode double saut

Le mode double saut Citrix ADC Gateway offre une protection supplémentaire au réseau interne d’une organisation car un attaquant doit pénétrer plusieurs zones de sécurité ou zones démilitarisées (DMZ) pour atteindre les serveurs du réseau sécurisé. Si vous souhaitez analyser le nombre de sauts (appliances Citrix ADC Gateway) à travers lesquels les connexions ICA passent, ainsi que les détails sur la latence de chaque connexion TCP et son rapport avec la latence ICA totale perçue par le client, vous devez installer Citrix Application Delivery Management (ADM) afin de que les appliances Citrix ADC Gateway signalent ces statistiques d’état civil.

Figure 3. Citrix ADM déployé en mode double saut

image localisée

Citrix ADC Gateway dans la première DMZ gère les connexions utilisateur et exécute les fonctions de sécurité d’un VPN SSL. Cette Citrix ADC Gateway chiffre les connexions utilisateur, détermine la manière dont les utilisateurs sont authentifiés et contrôle l’accès aux serveurs du réseau interne.

Citrix ADC Gateway dans la deuxième zone DMZ sert de périphérique proxy Citrix ADC Gateway. Cette Citrix ADC Gateway permet au trafic ICA de traverser la deuxième zone DMZ pour terminer les connexions utilisateur à la batterie de serveurs.

Citrix ADM peut être déployé soit dans le sous-réseau appartenant à l’appliance Citrix ADC Gateway dans la première DMZ, soit dans le sous-réseau appartenant à l’appliance Citrix ADC Gateway deuxième DMZ. Dans l’image ci-dessus, Citrix ADM et Citrix ADC Gateway dans la première DMZ sont déployés dans le même sous-réseau.

En mode double saut, Citrix ADM collecte les enregistrements TCP d’une appliance et les enregistrements ICA de l’autre appliance. Après avoir ajouté les appliances Citrix ADC Gateway à l’inventaire Citrix ADM et activé la collecte de données, chacune des appliances exporte les rapports en gardant un suivi du nombre de sauts et de l’ID de chaîne de connexion.

Pour que Citrix ADM identifie l’appliance qui exporte des enregistrements, chaque appliance est spécifiée avec un nombre de sauts et chaque connexion est spécifiée avec un ID de chaîne de connexion. Le nombre de sauts représente le nombre d’appliances Citrix ADC Gateway via lesquelles le trafic circule d’un client vers les serveurs. L’ID de chaîne de connexion représente les connexions de bout en bout entre le client et le serveur.

Citrix ADM utilise le nombre de sauts et l’ID de chaîne de connexion pour corréler les données des appliances Citrix ADC Gateway et générer les rapports.

Pour surveiller les appliances Citrix ADC Gateway déployées dans ce mode, vous devez d’abord ajouter Citrix ADC Gateway à l’inventaire Citrix ADM, activer AppFlow sur Citrix ADM, puis afficher les rapports sur le tableau de bord Citrix ADM.

Activation de la collecte de données sur Citrix ADM

Si vous activez Citrix ADM pour commencer à collecter les détails ICA à partir des deux appliances, les détails collectés sont redondants. Les deux appliances signalent les mêmes mesures. Pour surmonter cette situation, vous devez activer AppFlow for ICA sur l’un des premiers matériels Citrix ADC Gateway, puis activer AppFlow for TCP sur le second. Ce faisant, l’une des appliances exporte les enregistrements ICA AppFlow et l’autre exporte les enregistrements TCP AppFlow. Cela permet également d’économiser le temps de traitement lors de l’analyse du trafic ICA.

Pour activer la fonctionnalité AppFlow à partir de Citrix ADM :

  1. Dans un navigateur Web, tapez l’adresse IP de Citrix Application Delivery Management (ADM) (par exemple, http://192.168.100.1).

  2. Dans Nom d’utilisateur et Mot de passe, entrez les informations d’identification de l’administrateur.

  3. Accédez à Infrastructure > Instances, puis sélectionnez l’instance Citrix ADC que vous souhaitez activer l’analyse.

  4. Dans la liste déroulante Action, sélectionnez Activer ou désactiver les informations.

  5. Sélectionnez les serveurs virtuels VPN, puis cliquez sur Activer AppFlow.

  6. Dans le champ Activer AppFlow, tapez true et sélectionnez ICA/TCP pour le trafic ICA et le trafic TCP respectivement.

    Remarque

    Si la journalisation AppFlow n’est pas activée pour les services ou groupes de services respectifs sur l’appliance Citrix ADC, le tableau de bord Citrix ADM n’affiche pas les enregistrements, même si la colonne Insight affiche Activé.

  7. Cliquez sur OK.

    image localisée

Configuration des appliances Citrix ADC Gateway pour exporter des données

Après avoir installé les appliances Citrix ADC Gateway, vous devez configurer les paramètres suivants sur les appliances de passerelle ADC Citrix pour exporter les rapports vers Citrix ADM :

  • Configurez les serveurs virtuels des appliances Citrix ADC Gateway dans les première et deuxième DMZ pour communiquer entre eux.
  • Liez le serveur virtuel Citrix ADC Gateway dans la deuxième DMZ au serveur virtuel Citrix ADC Gateway dans la première DMZ.
  • Activez le double saut sur Citrix ADC Gateway dans la deuxième DMZ.
  • Désactivez l’authentification sur le serveur virtuel Citrix ADC Gateway dans la deuxième DMZ.
  • Activer l’une des appliances Citrix ADC Gateway pour exporter des enregistrements ICA
  • Activez l’autre appliance Citrix ADC Gateway pour exporter les enregistrements TCP :
  • Activez le chaînage des connexions sur les deux appliances Citrix ADC Gateway.

Configuration de Citrix ADC Gateway à l’aide de l’interface de ligne de commande :

  1. Configurez le serveur virtuel Citrix ADC Gateway dans la première DMZ pour communiquer avec le serveur virtuel Citrix ADC Gateway dans la deuxième DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. Liez le serveur virtuel Citrix ADC Gateway dans la deuxième DMZ au serveur virtuel Citrix ADC Gateway dans la première DMZ. Exécutez la commande suivante sur Citrix ADC Gateway dans la première DMZ :

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    
  3. Activez le double saut et AppFlow sur Citrix ADC Gateway dans la deuxième DMZ.

    set vpn vserver <name> [- doubleHop ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. Désactivez l’authentification sur le serveur virtuel Citrix ADC Gateway dans la deuxième DMZ.

    set vpn vserver **<name> [-authentication** (ON|OFF)]

    set vpn vserver vs -authentication OFF
    
  5. Activez l’une des appliances Citrix ADC Gateway pour exporter des enregistrements TCP.

    bind vpn vserver **<name> [-policy <string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. Activez l’autre appliance Citrix ADC Gateway pour exporter des enregistrements ICA :

    bind vpn vserver **<name> [-policy <string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. Activez le chaînage des connexions sur les deux appliances Citrix ADC Gateway :

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    

Configuration de Citrix ADC Gateway à l’aide de l’utilitaire de configuration :

  1. Configurez Citrix ADC Gateway dans la première DMZ pour communiquer avec Citrix ADC Gateway dans la deuxième DMZ et lier Citrix ADC Gateway dans la deuxième DMZ à Citrix ADC Gateway dans la première DMZ.
    1. Sous l’onglet Configuration, développez Citrix ADC Gateway **et cliquez sur **Serveurs virtuels .
    2. Dans le volet droit, double-cliquez sur le serveur virtuel et dans le groupe Avancé, développez Applications publiées.
    3. Cliquez sur **Serveur de saut suivant **et liez un serveur de saut suivant à la deuxième appliance Citrix ADC Gateway.
  2. Activez le double saut sur Citrix ADC Gateway dans la deuxième DMZ.
    1. Sous l’onglet **Configuration, développez **Citrix ADC Gateway **et cliquez sur **Serveurs virtuels.
    2. Dans le volet droit, double-cliquez sur le serveur virtuel, et dans le groupe **Paramètres de base**, cliquez sur l’icône Modifier.
    3. Développez Plus, sélectionnez Double Hop et cliquez sur OK .
  3. Désactivez l’authentification sur le serveur virtuel sur Citrix ADC Gateway dans la deuxième DMZ.
    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.
    2. Dans le volet droit, double-cliquez sur le serveur virtuel, et dans le groupe **Paramètres de base**, cliquez sur l’icône Modifier.
    3. Développez Pluset décochez Activer l’authentification.
  4. Activez l’une des solutions matérielles Citrix ADC Gateway pour exporter des enregistrements TCP.
    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.
    2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développez Stratégies .
    3. Cliquez sur l’icône + et dans la liste déroulante Choisir une stratégie, sélectionnez AppFlow et dans la liste déroulante Choisir un type, sélectionnez Autre demande TCP.
    4. Cliquez sur Continue.
    5. Ajoutez une liaison de stratégie, puis cliquez sur Fermer.
  5. Activez l’autre appliance Citrix ADC Gateway pour exporter des enregistrements ICA :
    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.
    2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développez Stratégies .
    3. Cliquez sur l’icône + et dans la liste déroulante Choisir une stratégie, sélectionnez AppFlow et dans la liste déroulante Choisir un type, sélectionnez Autre demande TCP.
    4. Cliquez sur Continue.
    5. Ajoutez une liaison de stratégie, puis cliquez sur Fermer.
  6. Activez le chaînage des connexions sur les deux appliances Citrix ADC Gateway.
    1. Sous l’onglet Configuration, accédez à Système > Appflow .
    2. Dans le volet droit, dans le groupe Paramètres, cliquez sur Modifier les paramètres Appflow .
    3. Sélectionnez Chaîne de connexion et cliquez sur OK.

Activer la collecte de données pour les appliances Citrix ADC Gateway déployées en mode double saut