Citrix Endpoint Management

Contrôle d’accès réseau

Vous pouvez étendre l’évaluation de la sécurité des appareils Citrix Endpoint Management via votre solution de contrôle d’accès réseau (NAC) pour les appareils Android et Apple. Votre solution NAC utilise ensuite l’évaluation de sécurité Citrix Endpoint Management pour faciliter et gérer les décisions d’authentification. Une fois le boîtier NAC configuré, les stratégies d’appareil et les filtres NAC que vous configurez dans Citrix Endpoint Management sont appliqués.

L’utilisation de Citrix Endpoint Management avec une solution NAC ajoute la qualité de service et un contrôle plus précis sur les appareils internes à votre réseau. Pour un résumé des avantages de l’intégration de NAC avec Citrix Endpoint Management, consultez la section Contrôle d’accès.

Citrix prend en charge ces solutions pour l’intégration à Citrix Endpoint Management :

  • Citrix Gateway
  • ForeScout

Citrix ne garantit pas l’intégration avec d’autres solutions NAC.

Avec un boîtier de contrôle d’accès réseau (NAC) dans votre réseau :

  • Citrix Endpoint Management prend en charge NAC en tant que fonctionnalité de sécurité de point de terminaison pour les appareils iOS, Android Enterprise et Android.

  • Vous pouvez activer les filtres dans Citrix Endpoint Management pour définir les appareils comme conformes ou non conformes pour NAC, en fonction de règles ou de propriétés. Par exemple :

    • Si un appareil géré dans Citrix Endpoint Management ne répond pas aux critères spécifiés, Citrix Endpoint Management le marque comme non conforme. Le boîtier NAC bloque les appareils non conformes sur votre réseau.

    • Si un appareil géré dans Citrix Endpoint Management a installé des applications non conformes, un filtre NAC peut bloquer la connexion VPN. Par conséquent, une machine utilisateur non conforme ne peut pas accéder aux applications ou aux sites Web via le VPN.

    • Si vous utilisez Citrix Gateway pour NAC, vous pouvez activer le split tunneling pour empêcher le plug-in Citrix Gateway d’envoyer du trafic réseau inutile à Citrix Gateway. Pour plus d’informations sur le split tunneling, voir Configurer le split tunneling.

Filtres de conformité NAC pris en charge

Citrix Endpoint Management prend en charge les filtres de conformité au contrôle d’accès réseau (NAC) suivants :

Appareils anonymes : vérifie si un appareil est en mode anonyme. Cette vérification est disponible si Citrix Endpoint Management ne parvient pas à authentifier à nouveau l’utilisateur lorsqu’un appareil tente de se reconnecter.

Applications sur liste noire : vérifie si un appareil dispose d’applications interdites, telles que définies dans une stratégie d’accès aux applications. Pour plus d’informations sur la stratégie, consultez la section Stratégies d’accès aux applications.

Appareils inactifs : vérifie si un appareil est inactif, tel que cela est défini par le paramètre Nombre de jours maximum d’inactivité dans la boîte de dialogue Propriétés du serveur. Pour de plus amples informations, consultez la section Propriétés du serveur.

Applications requises manquantes : vérifie si des applications nécessaires sont manquantes sur un appareil, tel que cela est défini dans une stratégie d’accès aux applications.

Applications non suggérées : vérifie si un appareil dispose d’applications non suggérées, telles que définies dans une stratégie d’accès aux applications.

Mot de passe non conforme : vérifie si le mot de passe utilisateur est conforme. Sur les appareils iOS et Android, Citrix Endpoint Management peut déterminer si le mot de passe actuel de l’appareil est conforme à la stratégie de code secret envoyée à l’appareil. Par exemple, sur iOS, l’utilisateur dispose de 60 minutes pour définir un mot de passe si Citrix Endpoint Management envoie une stratégie de code secret à l’appareil. Avant qu’un mot de passe ne soit défini par l’utilisateur, le code secret peut ne pas être conforme.

Appareils non conformes : vérifie si un appareil n’est pas conforme, en fonction de la propriété de l’appareil Non conforme. Cette propriété est généralement modifiée par les actions automatisées ou parce qu’un tiers utilise les API Citrix Endpoint Management.

État révoqué : vérifie si le certificat de l’appareil a été révoqué. Un appareil révoqué ne peut pas se réinscrire tant qu’il n’a pas été à nouveau autorisé.

Appareils Android rootés et iOS jailbreakés : vérifie si un appareil Android ou iOS est rooté ou jailbreaké.

Appareils non gérés : vérifie si Citrix Endpoint Management gère un appareil. Par exemple, un appareil inscrit en mode MAM ou un appareil non inscrit n’est pas géré.

Remarque :

Le filtre Conformité/non conformité implicite définit la valeur par défaut uniquement sur les appareils qui sont gérés par Citrix Endpoint Management. Par exemple, tous les appareils sur lesquels une application bloquée est installée ou qui ne sont pas inscrits sont marqués comme Non conformes. Le boîtier de contrôle d’accès réseau (NAC) bloque ces appareils de votre réseau.

Présentation de la configuration

Nous vous recommandons de configurer les composants NAC dans l’ordre indiqué.

  1. Configurez les stratégies d’appareil pour prendre en charge NAC :

    Pour les appareils iOS : voir Configurer la stratégie VPN pour prendre en charge NAC.

    Pour les appareils Android Enterprise : voir Créer une configuration gérée par Android Enterprise pour Citrix SSO.

    Pour les appareils Android : voir Configurer le protocole Citrix SSO pour Android.

  2. Activer les filtres NAC dans Citrix Endpoint Management.

  3. Configurer une solution NAC :

Activer les filtres NAC dans Citrix Endpoint Management

  1. Dans la console Citrix Endpoint Management, accédez à Paramètres > Contrôle d’accès réseau.

    Écran des paramètres de contrôle d’accès réseau

  2. Cochez les cases correspondant aux filtres Définir comme non conforme que vous souhaitez activer.

  3. Cliquez sur Save.

Mettre à jour les stratégies Citrix Gateway afin de prendre en charge NAC

Vous devez configurer les stratégies d’authentification avancée (et non classique) et de sessions VPN sur votre serveur virtuel VPN.

Ces étapes mettent à jour Citrix Gateway avec l’une des caractéristiques suivantes :

  • Intégré à Citrix Endpoint Management.
  • Ou, est configuré pour le VPN, ne fait pas partie de l’environnement Citrix Endpoint Management et peut atteindre Citrix Endpoint Management.

Sur votre serveur VPN virtuel, depuis une fenêtre de console, procédez comme suit. Les noms de domaine complet et les adresses IP dans les commandes et les exemples sont fictifs.

  1. Supprimez et annulez la liaison de toutes les stratégies classiques si vous utilisez des stratégies classiques sur votre serveur virtuel VPN. Pour vérifier, tapez :

    show vpn vserver <VPN_VServer>

    Supprimez tout résultat contenant le terme « Classic ». Par exemple : VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

    Pour supprimer la stratégie, tapez :

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Créez la stratégie de session avancée correspondante en tapant ce qui suit.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Par exemple : add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Liez la stratégie à votre serveur virtuel VPN en tapant ce qui suit.

    bind vpn vserver _XM_EndpointManagement -policy vpn_nac -priority 100

  4. Créez un serveur virtuel d’authentification en tapant ce qui suit.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Par exemple : add authentication vserver authvs SSL 0.0.0.0 Dans l’exemple, 0.0.0.0 signifie que le serveur virtuel d’authentification n’est pas public.

  5. Liez un certificat SSL au serveur virtuel en tapant ce qui suit.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>

    Par exemple : bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Associez un profil d’authentification au serveur virtuel d’authentification à partir du serveur virtuel VPN. Commencez par créer le profil d’authentification en tapant ce qui suit.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Par exemple :

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Associez le profil d’authentification au serveur virtuel VPN en tapant ce qui suit.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Par exemple :

    set vpn vserver _XM_EndpointManagement -authnProfile xm_nac_prof

  8. Vérifiez la connexion de Citrix Gateway à un appareil en tapant ce qui suit.

    curl -v -k https://<Endpoint Management_server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Par exemple, cette requête vérifie la connectivité en obtenant l’état de conformité du premier appareil (deviceid_1) inscrit dans l’environnement :

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Un résultat réussi est similaire à l’exemple suivant.

    HTTP/1.1 200 OK
    < Server: Apache-Coyote/1.1
    < X-Citrix-Device-State: Non Compliant
    < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    <!--NeedCopy-->
    
  9. Lorsque l’étape précédente réussit, créez l’action d’authentification Web sur Citrix Endpoint Management. Commencez par créer une expression de stratégie pour extraire l’ID d’appareil du plug-in VPN iOS. Tapez ce qui suit.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envoyez la requête à Citrix Endpoint Management en tapant ce qui suit. Dans cet exemple, l’adresse IP Citrix Endpoint Management est 10.207.87.82 et le nom de domaine complet est example.em.cloud.com:4443.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: example.em.cloud.com:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    L’état HTTP status 200 OK indique une réussite de NAC Citrix Endpoint Management. La valeur de l’en-tête X-Citrix-Device-State doit être Compliant.

  11. Créez une stratégie d’authentification avec laquelle associer l’action en tapant ce qui suit.

    add authentication Policy <policy name> -rule <rule> -action <web authentication action>

    Par exemple : add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Convertissez la stratégie LDAP existante en une stratégie avancée en tapant ce qui suit.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>

    Par exemple : add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Ajoutez un intitulé de stratégie avec lequel associer la stratégie LDAP en tapant ce qui suit.

    add authentication policylabel <policy_label_name>

    Par exemple : add authentication policylabel ldap_pol_label

  14. Associez la stratégie LDAP à l’intitulé de stratégie en tapant ce qui suit.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Connectez un périphérique compatible pour effectuer un test NAC afin de vérifier si l’authentification LDAP réussit. Tapez ce qui suit.

    bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Ajoutez l’interface utilisateur à associer au serveur virtuel d’authentification. Tapez la commande suivante pour récupérer l’ID d’appareil.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Liez le serveur virtuel d’authentification en tapant ce qui suit.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Créez une stratégie d’authentification avancée LDAP pour activer la connexion Citrix Secure Hub. Tapez ce qui suit.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

Contrôle d’accès réseau