Citrix Application Delivery Management service

Activer la collecte de données pour les appliances Citrix ADC Gateway déployées en mode double-saut

Le mode double saut Citrix ADC Gateway fournit une protection supplémentaire au réseau interne d’une organisation car un attaquant devrait pénétrer plusieurs zones de sécurité ou zones démilitarisées (DMZ) pour atteindre les serveurs du réseau sécurisé.

En tant qu’administrateur, à l’aide de Citrix ADM, vous pouvez analyser :

  • Nombre de sauts (appliances Citrix ADC Gateway) par lesquels les connexions ICA passent

  • Les détails sur la latence sur chaque connexion TCP et comment elle se présente contre la latence ICA totale perçue par le client

L’image suivante indique que Citrix ADM et Citrix ADC Gateway dans la première DMZ sont déployés dans le même sous-réseau.

Double saut

Citrix ADC Gateway dans la première DMZ gère les connexions utilisateur et exécute les fonctions de sécurité d’un VPN SSL. Cette Citrix ADC Gateway chiffre les connexions utilisateur, détermine la manière dont les utilisateurs sont authentifiés et contrôle l’accès aux serveurs du réseau interne.

Citrix ADC Gateway dans la deuxième zone DMZ sert de périphérique proxy Citrix ADC Gateway. Cette Citrix ADC Gateway permet au trafic ICA de traverser la deuxième zone DMZ pour terminer les connexions utilisateur à la batterie de serveurs.

Citrix ADM peut être déployé soit dans le sous-réseau appartenant à l’appliance Citrix ADC Gateway dans la première DMZ, soit dans le sous-réseau appartenant à l’appliance Citrix ADC Gateway deuxième DMZ.

En mode double saut, Citrix ADM collecte les enregistrements TCP d’une appliance et les enregistrements ICA de l’autre appliance. Après avoir ajouté les appliances Citrix ADC Gateway à l’inventaire Citrix ADM et activé la collecte de données, chaque appliance exporte les rapports en gardant le suivi du nombre de sauts et de l’ID de chaîne de connexion.

Pour que Citrix ADM identifie l’appliance qui exporte des enregistrements, chaque appliance est spécifiée avec un nombre de sauts et chaque connexion est spécifiée avec un ID de chaîne de connexion. Le nombre de sauts représente le nombre d’appliances Citrix ADC Gateway via lequel le trafic circule d’un client vers les serveurs. L’ID de chaîne de connexion représente les connexions de bout en bout entre le client et le serveur.

Citrix ADM utilise le nombre de sauts et l’ID de chaîne de connexion pour associer les données des appliances Citrix ADC Gateway et générer les rapports.

Pour surveiller les appliances Citrix ADC Gateway déployées dans ce mode, vous devez d’abord ajouter Citrix ADC Gateway à l’inventaire Citrix ADM, activer AppFlow sur Citrix ADM, puis afficher les rapports sur le tableau de bord Citrix ADM.

Activation de la collecte de données sur Citrix ADM

Si vous activez Citrix ADM pour commencer à collecter les détails ICA à partir des deux appliances, les détails collectés sont redondants. Pour surmonter cette situation, vous devez activer AppFlow for ICA sur le premier dispositif Citrix ADC Gateway, puis activer AppFlow for TCP sur la deuxième appliance. Ce faisant, l’une des appliances exporte les enregistrements ICA AppFlow et l’autre exporte les enregistrements TCP AppFlow. Cela permet également d’économiser du temps de traitement lors de l’analyse du trafic ICA.

Pour activer la fonctionnalité AppFlow à partir de Citrix ADM :

  1. Accédez à Infrastructure > Instances, puis sélectionnez l’instance Citrix ADC que vous souhaitez activer l’analyse.

  2. Dans la liste Action, sélectionnez Activer/Désactiver Insight.

  3. Sélectionnez les serveurs virtuels VPN, puis cliquez sur Activer AppFlow.

  4. Dans le champ Activer AppFlow, tapez true et sélectionnez ICA/TCP pour le trafic ICA et le trafic TCP respectivement.

    Remarque

    Si la journalisation AppFlow n’est pas activée pour les services ou groupes de services respectifs sur l’appliance Citrix ADC, le tableau de bord Citrix ADM n’affiche pas les enregistrements, même si la colonne Insight affiche Activé.

  5. Cliquez sur OK.

    Double saut

Configurer les appliances Citrix ADC Gateway pour exporter des données

Après avoir installé les appliances Citrix ADC Gateway, vous devez configurer les paramètres suivants sur les appliances Citrix ADC Gateway pour exporter les rapports vers Citrix ADM :

  • Configurez les serveurs virtuels des appliances Citrix ADC Gateway dans la première et la deuxième zone DMZ pour communiquer entre eux.

  • Liez le serveur virtuel Citrix ADC Gateway dans la deuxième DMZ au serveur virtuel Citrix ADC Gateway dans la première DMZ.

  • Activez le double saut sur Citrix ADC Gateway dans la seconde DMZ.

  • Désactivez l’authentification sur le serveur virtuel Citrix ADC Gateway dans la deuxième zone DMZ.

  • Activer l’une des appliances Citrix ADC Gateway pour exporter des enregistrements ICA

  • Activez l’autre appliance Citrix ADC Gateway pour exporter les enregistrements TCP :

  • Activez le chaînage des connexions sur les deux appliances Citrix ADC Gateway.

Configurez Citrix ADC Gateway à l’aide de l’interface de ligne de commande :

  1. Configurez le serveur virtuel Citrix ADC Gateway dans la première DMZ pour qu’il communique avec le serveur virtuel Citrix ADC Gateway dans la seconde DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    <!--NeedCopy-->
    
  2. Liez le serveur virtuel Citrix ADC Gateway dans la deuxième DMZ au serveur virtuel Citrix ADC Gateway dans la première DMZ. Exécutez la commande suivante sur Citrix ADC Gateway dans la première DMZ :

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    <!--NeedCopy-->
    
  3. Activez le double saut et AppFlow sur Citrix ADC Gateway dans la seconde DMZ.

    set vpn vserver <name> [- doubleHop ( ENABLED |DISABLED)] [- AppFlowLog (ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    <!--NeedCopy-->
    
  4. Désactivez l’authentification sur le serveur virtuel Citrix ADC Gateway dans la deuxième zone DMZ.

    définir vpn vserver<name> [-authentification (ON|OFF)]

    set vpn vserver vs -authentication OFF
    <!--NeedCopy-->
    
  5. Activez l’une des appliances Citrix ADC Gateway pour exporter les enregistrements TCP.

    lier vpn vpn [<name> -policy **<string> **-priority **] [<positive_integer> -type **<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    <!--NeedCopy-->
    
  6. Activez l’autre appliance Citrix ADC Gateway pour exporter les enregistrements ICA :

    lier vpn vpn [<name> -policy **<string> **-priority **] [<positive_integer> -type **<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    <!--NeedCopy-->
    
  7. Activer le chaînage des connexions sur les deux appliances Citrix ADC Gateway :

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    <!--NeedCopy-->
    

Configuration de Citrix ADC Gateway à l’aide de l’utilitaire de configuration :

  1. Configurez Citrix ADC Gateway dans la première DMZ pour communiquer avec Citrix ADC Gateway dans la deuxième DMZ et liez Citrix ADC Gateway dans la deuxième DMZ à Citrix ADC Gateway dans la première DMZ.

    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.

    2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développez Applications publiées.

    3. Cliquez sur Serveur de saut suivant et liez un serveur de saut suivant à la deuxième appliance Citrix ADC Gateway.

  2. Activez le double saut sur Citrix ADC Gateway dans la seconde DMZ.

    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.

    2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Paramètres de base, cliquez sur l’icône Modifier.

    3. Développez Plus, sélectionnez Double Hop et cliquez sur OK .

  3. Désactivez l’authentification sur le serveur virtuel sur Citrix ADC Gateway dans la deuxième zone DMZ.

    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.

    2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Paramètres de base, cliquez sur l’icône Modifier.

    3. Développez Pluset désactivez Activer l’authentification.

  4. Activez l’une des appliances Citrix ADC Gateway pour exporter les enregistrements TCP.

    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.

    2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développez Stratégies.

    3. Cliquez sur l’icône + et dans la liste Choisir une stratégie, sélectionnez AppFlow et dans la liste Choisir un type, sélectionnez Autre demande TCP.

    4. Cliquez sur Continue.

    5. Ajoutez une liaison de stratégie, puis cliquez sur Fermer.

  5. Activez l’autre appliance Citrix ADC Gateway pour exporter les enregistrements ICA :

    1. Sous l’onglet Configuration, développez Citrix ADC Gateway et cliquez sur Serveurs virtuels.

    2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développez Stratégies.

    3. Cliquez sur l’icône + et dans la liste Choisir une stratégie, sélectionnez AppFlow et dans la liste Choisir un type, sélectionnez Autre demande TCP.

    4. Cliquez sur Continue.

    5. Ajoutez une liaison de stratégie, puis cliquez sur Fermer.

  6. Activez le chaînage des connexions sur les deux appliances Citrix ADC Gateway.

    1. Sous l’onglet Configuration, accédez à Système > Appflow .

    2. Dans le volet droit, dans le groupe Paramètres, cliquez sur Modifier les paramètres de flux d’applications.

    3. Sélectionnez Chaîne de connexion et cliquez sur OK .

Activer la collecte de données pour les appliances Citrix ADC Gateway déployées en mode double-saut