Établissement du tunnel sécurisé

Lorsque les utilisateurs se connectent avec le plug-in Citrix Gateway, Secure Hub ou Citrix Receiver, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Lorsque le tunnel est établi, Citrix Gateway envoie des informations de configuration au plug-in Citrix Gateway, Secure Hub ou Receiver décrivant les réseaux à sécuriser et contenant une adresse IP si vous activez les pools d’adresses.

Tunneling du trafic réseau privé via des connexions sécurisées

Lorsque le plug-in Citrix Gateway démarre et que l’utilisateur est authentifié, tout le trafic réseau destiné aux réseaux privés spécifiés est capturé et redirigé sur le tunnel sécurisé vers Citrix Gateway. Receiver doit prendre en charge le plug-in Citrix Gateway pour établir la connexion via le tunnel sécurisé lorsque les utilisateurs ouvrent une session.

Secure Hub, Secure Mail et WorxWeb utilisent Micro VPN pour établir le tunnel sécurisé pour les appareils mobiles iOS et Android.

Citrix Gateway intercepte toutes les connexions réseau que la machine utilisateur établit et les multiplexe via SSL (Secure Sockets Layer) vers Citrix Gateway, où le trafic est démultiplexé et les connexions sont transférées à la combinaison hôte et port correcte.

Les connexions sont soumises à des stratégies de sécurité administratives qui s’appliquent à une seule application, à un sous-ensemble d’applications ou à un intranet entier. Vous spécifiez les ressources (plages de paires adresse IP/sous-réseau) auxquelles les utilisateurs distants peuvent accéder via la connexion VPN.

Le plug-in Citrix Gateway intercepte et tunnel les protocoles suivants pour les applications intranet définies :

  • TCP (tous les ports)
  • UDP (tous les ports)
  • ICMP (types 8 et 0 - requête/réponse d’écho)

Les connexions à partir d’applications locales sur la machine utilisateur sont tunnelées en toute sécurité vers Citrix Gateway, ce qui rétablit les connexions au serveur cible. Les serveurs cibles voient les connexions comme provenant de Citrix Gateway local sur le réseau privé, masquant ainsi la machine utilisateur. Il s’agit également de la traduction d’adresses réseau inverse (NAT). Le masquage des adresses IP ajoute de la sécurité aux emplacements source.

Localement, sur la machine utilisateur, tout le trafic lié à la connexion, tels que les paquets SYN-ACK, PUSH, ACK et FIN, est recréé par le plug-in Citrix Gateway pour apparaître à partir du serveur privé.