Citrix Gateway

Mise en place du tunnel sécurisé

Lorsque les utilisateurs se connectent avec le plug-in Citrix Gateway, Secure Hub ou l’application Citrix Workspace, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Lorsque le tunnel est établi, Citrix Gateway envoie des informations de configuration au plug-in Citrix Gateway, Secure Hub ou Citrix Workspace décrivant les réseaux à sécuriser et contenant une adresse IP si vous activez les pools d’adresses.

Tunneling du trafic réseau privé sur des connexions sécurisées

Lorsque le plug-in Citrix Gateway démarre et que l’utilisateur est authentifié, tout le trafic réseau destiné aux réseaux privés spécifiés est capturé et redirigé sur le tunnel sécurisé vers Citrix Gateway. L’application Citrix Workspace doit prendre en charge le plug-in Citrix Gateway pour établir la connexion via le tunnel sécurisé lorsque les utilisateurs ouvrent une session.

Secure Hub, Secure Mail et WorxWeb utilisent Micro VPN pour établir le tunnel sécurisé pour les appareils mobiles iOS et Android.

Citrix Gateway intercepte toutes les connexions réseau établies par la machine utilisateur et les multiplexe via SSL (Secure Sockets Layer) vers Citrix Gateway, où le trafic est démultiplexé et les connexions sont transférées à la combinaison hôte et port appropriée.

Les connexions sont soumises à des stratégies de sécurité administratives qui s’appliquent à une seule application, à un sous-ensemble d’applications ou à un intranet entier. Vous spécifiez les ressources (plages de paires d’adresse IP/sous-réseau) auxquelles les utilisateurs distants peuvent accéder via la connexion VPN.

Le plug-in Citrix Gateway intercepte et tunnel les protocoles suivants pour les applications intranet définies :

  • TCP (tous les ports)
  • UDP (tous les ports)
  • ICMP (types 8 et 0 - demande d’écho et réponse)

Les connexions à partir d’applications locales sur la machine utilisateur sont sécurisées en tunnel vers Citrix Gateway, qui rétablit les connexions au serveur cible. Les serveurs cibles voient les connexions comme provenant de Citrix Gateway local sur le réseau privé, masquant ainsi la machine utilisateur. Ceci est également appelé traduction d’adresses réseau inverse (NAT). Le masquage des adresses IP ajoute de la sécurité aux emplacements source.

Localement, sur la machine utilisateur, tout le trafic lié à la connexion, tel que les paquets SYN-ACK, PUSH, ACK et FIN, est recréé par le plug-in Citrix Gateway pour qu’il s’affiche à partir du serveur privé.

Mise en place du tunnel sécurisé