Contrôle d’accès réseau

Vous pouvez étendre l’évaluation de la sécurité des appareils Endpoint Management via votre solution de contrôle d’accès réseau (NAC). Votre solution NAC utilise ensuite l’évaluation de sécurité Endpoint Management pour faciliter et gérer les décisions d’authentification.

L’utilisation de Endpoint Management avec une solution NAC ajoute la qualité de service et un contrôle plus précis sur les appareils internes à votre réseau. Pour un résumé des avantages de l’intégration de NAC avec Endpoint Management, consultez la section Contrôle d’accès.

Citrix prend en charge ces solutions pour l’intégration avec Endpoint Management :

  • Citrix Gateway
  • Cisco Identity Services Engine (ISE)
  • ForeScout

Citrix ne garantit pas l’intégration avec d’autres solutions NAC.

Avec un boîtier de contrôle d’accès réseau (NAC) dans votre réseau :

  • Endpoint Management prend en charge NAC en tant que fonctionnalité de sécurité de point de terminaison pour les appareils iOS, Android Enterprise et Android.

  • Vous pouvez activer les filtres dans Endpoint Management pour définir les appareils comme conformes ou non conformes pour NAC, en fonction de règles ou de propriétés. Par exemple :

    • Si un appareil géré dans Endpoint Management ne répond pas aux critères spécifiés, Endpoint Management le marque comme non conforme. Le boîtier NAC bloque les appareils non conformes sur votre réseau.

    • Si un appareil géré dans Endpoint Management a installé des applications non conformes, un filtre NAC peut bloquer la connexion VPN. Par conséquent, une machine utilisateur non conforme ne peut pas accéder aux applications ou aux sites Web via le VPN.

    • Si vous utilisez Citrix Gateway pour NAC, vous pouvez activer le split tunneling pour empêcher le plug-in Citrix Gateway d’envoyer du trafic réseau inutile à Citrix Gateway. Pour plus d’informations sur le split tunneling, consultez la section Configurer le split tunneling.

Filtres de conformité NAC pris en charge

Endpoint Management prend en charge les filtres de conformité au contrôle d’accès réseau (NAC) suivants :

Appareils anonymes : vérifie si un appareil est en mode anonyme. Cette vérification est disponible si Endpoint Management ne parvient pas à authentifier à nouveau l’utilisateur lorsqu’un appareil tente de se reconnecter.

Échec de l’attestation Samsung Knox : vérifie si un appareil n’est pas parvenu à répondre à une requête du serveur d’attestation Samsung Knox.

Applications sur liste noire : vérifie si un appareil dispose d’applications interdites, telles que définies dans une stratégie d’accès aux applications. Pour de plus amples informations sur cette stratégie, consultez la section Stratégies d’accès aux applications.

Appareils inactifs : vérifie si un appareil est inactif, tel que cela est défini par le paramètre Nombre de jours maximum d’inactivité dans la boîte de dialogue Propriétés du serveur. Pour plus de détails, consultez la section Propriétés du serveur.

Applications requises manquantes : vérifie si des applications nécessaires sont manquantes sur un appareil, tel que cela est défini dans une stratégie d’accès aux applications.

Applications non suggérées : vérifie si un appareil dispose d’applications non suggérées, telles que définies dans une stratégie d’accès aux applications.

Mot de passe non conforme : vérifie si le mot de passe utilisateur est conforme. Sur les appareils iOS et Android, Endpoint Management peut déterminer si le mot de passe actuel de l’appareil est conforme à la stratégie de code secret envoyée à l’appareil. Par exemple, sur iOS, l’utilisateur dispose de 60 minutes pour définir un mot de passe si Endpoint Management envoie une stratégie de code secret à l’appareil. Avant qu’un mot de passe ne soit défini par l’utilisateur, le code secret peut ne pas être conforme.

Appareils non conformes : vérifie si un appareil n’est pas conforme, en fonction de la propriété de l’appareil Non conforme. Cette propriété est généralement modifiée par les actions automatisées ou parce qu’un tiers utilise les API Endpoint Management.

État révoqué : vérifie si le certificat de l’appareil a été révoqué. Un appareil révoqué ne peut pas se réinscrire tant qu’il n’a pas été à nouveau autorisé.

Appareils Android rootés et iOS jailbreakés : vérifie si un appareil Android ou iOS est rooté ou jailbreaké.

Appareils non gérés : vérifie si Endpoint Management gère un appareil. Par exemple, un appareil inscrit en mode MAM ou un appareil non inscrit n’est pas géré.

Remarque :

Le filtre Conformité/non conformité implicite définit la valeur par défaut uniquement sur les appareils qui sont gérés par Endpoint Management. Par exemple, tous les appareils sur lesquels une application bloquée est installée ou qui ne sont pas inscrits sont marqués comme Non conformes. Le boîtier de contrôle d’accès réseau (NAC) bloque ces appareils de votre réseau.

Présentation de la configuration

Nous vous recommandons de configurer les composants NAC dans l’ordre indiqué. Les stratégies d’appareil et les filtres NAC que vous configurez dans Endpoint Management ne sont pas appliquées tant que vous n’avez pas configuré le boîtier NAC.

  1. Configurez les stratégies d’appareil pour prendre en charge NAC :

    Pour les appareils iOS : consultez la section Configurer la stratégie VPN pour prendre en charge NAC.

    Pour les appareils Android Enterprise : consultez la section Créer une configuration gérée par Android Enterprise pour Citrix SSO.

    Pour les appareils Android : consultez la section Configurer le protocole Citrix SSO pour Android.

  2. Activer les filtres NAC dans Endpoint Management.

  3. Configurer une solution NAC :

Activer les filtres NAC dans Endpoint Management

  1. Dans la console Endpoint Management, accédez à Paramètres > Contrôle d’accès réseau.

    Écran des paramètres de contrôle d'accès réseau

  2. Cochez les cases correspondant aux filtres Définir comme non conforme que vous souhaitez activer.

  3. Cliquez sur Save.

Mettre à jour les stratégies Citrix Gateway afin de prendre en charge NAC

Vous devez configurer les stratégies d’authentification avancée (et non classique) et de sessions VPN sur votre serveur virtuel VPN.

Ces étapes mettent à jour Citrix Gateway avec l’une des caractéristiques suivantes :

  • Intégré à Endpoint Management
  • Ou, est configuré pour le VPN, ne fait pas partie de l’environnement Endpoint Management et peut atteindre Endpoint Management.

Sur votre serveur VPN virtuel, depuis une fenêtre de console, procédez comme suit. Les adresses IP dans les commandes et les exemples sont fictives.

  1. Supprimez et annulez la liaison de toutes les stratégies classiques si vous utilisez des stratégies classiques sur votre serveur virtuel VPN. Pour vérifier, tapez :

    show vpn vserver <VPN_VServer>

    Supprimez tout résultat contenant le terme « Classic ». Pa exemple : VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

    Pour supprimer la stratégie, tapez :

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Créez la stratégie de session avancée correspondante en tapant ce qui suit.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Pa exemple : add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Liez la stratégie à votre serveur virtuel VPN en tapant ce qui suit.

    bind vpn vserver _XM_EndpointManagement -policy vpn_nac -priority 100

  4. Créez un serveur virtuel d’authentification en tapant ce qui suit.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Par exemple : add authentication vserver authvs SSL 0.0.0.0 Dans l’exemple, 0.0.0.0 signifie que le serveur virtuel d’authentification n’est pas public.

  5. Liez un certificat SSL au serveur virtuel en tapant ce qui suit.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>

    Pa exemple : bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Associez un profil d’authentification au serveur virtuel d’authentification à partir du serveur virtuel VPN. Commencez par créer le profil d’authentification en tapant ce qui suit.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Par exemple :

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Associez le profil d’authentification au serveur virtuel VPN en tapant ce qui suit.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Par exemple :

    set vpn vserver _XM_EndpointManagement -authnProfile xm_nac_prof

  8. Vérifiez la connexion de Citrix Gateway à un appareil en tapant ce qui suit.

    curl -v -k https://<Endpoint Management_server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Par exemple, cette requête vérifie la connectivité en obtenant l’état de conformité du premier appareil (deviceid_1) inscrit dans l’environnement :

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Un résultat réussi est similaire à l’exemple suivant.

    HTTP/1.1 200 OK
    < Server: Apache-Coyote/1.1
    < X-Citrix-Device-State: Non Compliant
    < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. Lorsque l’étape précédente réussit, créez l’action d’authentification Web sur Endpoint Management. Commencez par créer une expression de stratégie pour extraire l’ID d’appareil du plug-in VPN iOS. Tapez ce qui suit.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envoyez la requête à Endpoint Management en tapant ce qui suit. Dans cet exemple, l’adresse IP Endpoint Management est 10.207.87.82.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.207.87.82:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    L’état HTTP status 200 OK indique une réussite de NAC Endpoint Management. La valeur de l’en-tête X-Citrix-Device-State doit être Compliant.

  11. Créez une stratégie d’authentification avec laquelle associer l’action en tapant ce qui suit.

    add authentication Policy <policy name> -rule <rule> -action <web authentication action>

    Pa exemple : add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Convertissez la stratégie LDAP existante en une stratégie avancée en tapant ce qui suit.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>

    Pa exemple : add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Ajoutez un intitulé de stratégie avec lequel associer la stratégie LDAP en tapant ce qui suit.

    add authentication policylabel <policy_label_name>

    Pa exemple : add authentication policylabel ldap_pol_label

  14. Associez la stratégie LDAP à l’intitulé de stratégie en tapant ce qui suit.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Connectez un périphérique compatible pour effectuer un test NAC afin de vérifier si l’authentification LDAP réussit. Tapez ce qui suit.

    bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Ajoutez l’interface utilisateur à associer au serveur virtuel d’authentification. Tapez la commande suivante pour récupérer l’ID d’appareil.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Liez le serveur virtuel d’authentification en tapant ce qui suit.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Créez une stratégie d’authentification avancée LDAP pour activer la connexion Secure Hub. Tapez ce qui suit.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT