Citrix Gateway

Comment les utilisateurs se connectent à l’agent Citrix Secure Access

Citrix Gateway fonctionne comme suit :

  • Lorsque les utilisateurs tentent d’accéder aux ressources réseau via le tunnel VPN, l’agent Citrix Secure Access chiffre tout le trafic réseau destiné au réseau interne de l’organisation et transmet les paquets à Citrix Gateway.
  • Citrix Gateway met fin au tunnel SSL, accepte tout trafic entrant destiné au réseau privé et transfère le trafic vers le réseau privé. Citrix Gateway renvoie le trafic vers l’ordinateur distant via un tunnel sécurisé.

Lorsque les utilisateurs saisissent l’adresse Web, ils reçoivent une page d’ouverture de session dans laquelle ils entrent leurs informations d’identification et ouvrent une session. Si les informations d’identification sont correctes, Citrix Gateway termine la liaison avec la machine utilisateur.

Si l’utilisateur se situe derrière un serveur proxy, il peut spécifier des informations d’identification pour le serveur proxy et l’authentification. Pour plus d’informations, consultez Activation de la prise en charge du proxy pour les connexions utilisateur.

L’agent Citrix Secure Access est installé sur la machine utilisateur. Après la première connexion, si les utilisateurs ouvrent une session à l’aide d’un ordinateur Windows, ils peuvent utiliser l’icône de la zone de notification pour établir la connexion.

Établir le tunnel sécurisé

Lorsque les utilisateurs se connectent avec l’agent Citrix Secure Access, Secure Hub ou l’application Citrix Workspace, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Une fois le tunnel établi, Citrix Gateway envoie des informations de configuration à l’agent Citrix Secure Access, à Secure Hub ou à l’application Citrix Workspace décrivant les réseaux à sécuriser et contenant une adresse IP si vous activez les pools d’adresses.

Tunnel du trafic réseau privé sur des connexions sécurisées

Lorsque l’agent Citrix Secure Access démarre et que l’utilisateur est authentifié, tout le trafic réseau destiné à des réseaux privés spécifiés est capturé et redirigé via le tunnel sécurisé vers Citrix Gateway. L’application Citrix Workspace doit prendre en charge l’agent Citrix Secure Access pour établir la connexion via le tunnel sécurisé lorsque les utilisateurs ouvrent une session.

Secure Hub, Secure Mail et WorxWeb utilisent Micro VPN pour établir le tunnel sécurisé pour les appareils mobiles iOS et Android.

Citrix Gateway intercepte toutes les connexions réseau établies par la machine utilisateur et les multiplexe via Secure Sockets Layer (SSL) vers Citrix Gateway, où le trafic est démultiplexé et les connexions sont transférées vers la combinaison hôte et port appropriée.

Les connexions sont soumises à des stratégies de sécurité administratives qui s’appliquent à une seule application, à un sous-ensemble d’applications ou à un intranet complet. Vous spécifiez les ressources (plages de paires d’adresses IP/sous-réseaux) auxquelles les utilisateurs distants peuvent accéder via la connexion VPN.

L’agent Citrix Secure Access intercepte et transfère les protocoles suivants pour les applications intranet définies :

  • TCP (tous les ports)
  • UDP (tous les ports)
  • ICMP (types 8 et 0 - demande/réponse d’écho)

Les connexions des applications locales sur la machine utilisateur sont mises en tunnel de manière sécurisée vers Citrix Gateway, ce qui rétablit les connexions au serveur cible. Les serveurs cibles considèrent les connexions comme provenant de Citrix Gateway local sur le réseau privé, masquant ainsi la machine utilisateur. C’est ce qu’on appelle également la traduction d’adresses réseau inversée (NAT). Le masquage des adresses IP renforce la sécurité des emplacements sources.

Localement, sur la machine utilisateur, tout le trafic lié à la connexion, tel que les paquets SYN-ACK, PUSH, ACK et FIN, est recréé par l’agent Citrix Secure Access pour apparaître à partir du serveur privé.

Connectez-vous via des pare-feu et des proxys

Les utilisateurs de l’agent Citrix Secure Access se trouvent parfois à l’intérieur du pare-feu d’une autre organisation, comme illustré dans la figure suivante :

Connexion utilisateur via deux pare-feu internes

Les pare-feu NAT conservent une table qui leur permet de router les paquets sécurisés de Citrix Gateway vers la machine utilisateur. Pour les connexions orientées circuit, Citrix Gateway gère une table de traduction NAT inverse mappée par port. La table de traduction NAT inverse permet à Citrix Gateway de faire correspondre les connexions et de renvoyer les paquets via le tunnel vers la machine utilisateur avec les numéros de port corrects afin que les paquets retournent vers la bonne application.

Contrôle de la mise à niveau des agents Citrix Secure Access

Les administrateurs système contrôlent le fonctionnement du plug-in Citrix ADC lorsque sa version ne correspond pas à la révision Citrix Gateway. Les nouvelles options contrôlent le comportement de mise à niveau du plug-in pour Mac, Windows ou les systèmes d’exploitation.

Pour les plug-ins VPN, l’option de mise à niveau peut être définie à deux endroits dans l’interface utilisateur de l’appliance Citrix ADC :

  • Dans les paramètres globaux
  • Au niveau du profil de session

Exigences

  • La version du plug-in Windows EPA et VPN doit être supérieure à 11.0.0.0

  • La version du plug-in Mac EPA doit être supérieure à 3.0.0.31

  • La version du plug-in VPN Mac doit être supérieure à 3.1.4 (357)

Remarque :

Si l’appliance Citrix ADC est mise à niveau vers la version 11.0, tous les plug-ins VPN (et EPA) précédents sont mis à niveau vers la dernière version, quelle que soit la configuration du contrôle de mise à niveau. Pour les mises à niveau suivantes, elles respectent la configuration précédente du contrôle de mise à niveau.

Comportements des plug-ins

Pour chaque type de client, Citrix Gateway offre les trois options suivantes pour contrôler le comportement de mise à niveau du plug-in :

  • Toujours

Le plug-in est toujours mis à niveau chaque fois que la version du plug-in de l’utilisateur final ne correspond pas au plug-in fourni avec l’appliance Citrix ADC. Il s’agit du comportement par défaut. Sélectionnez cette option si vous ne souhaitez pas que plusieurs versions de plug-in soient exécutées dans votre entreprise.

  • Essentiel (et sécurité)

Le plug-in n’a été mis à niveau que lorsque cela est jugé nécessaire. Les mises à niveau sont jugées nécessaires dans les deux cas suivants :

  • Le plug-in installé n’est pas compatible avec la version actuelle de l’appliance Citrix ADC.

  • Le plug-in installé doit être mis à jour pour obtenir le correctif de sécurité nécessaire.

Sélectionnez cette option si vous souhaitez réduire le nombre de mises à niveau de plug-in, mais ne souhaitez pas manquer de mises à jour de sécurité de plug-in

  • Jamais

Le plug-in n’est pas mis à niveau.

Paramètres CLI pour contrôler la mise à niveau du plug-in VPN

Citrix Gateway prend en charge deux types de plug-ins (EPA et VPN) pour les systèmes d’exploitation Windows et Mac. Pour prendre en charge le contrôle de mise à niveau du plug-in VPN au niveau de la session, Citrix Gateway prend en charge deux paramètres de profil de session nommés WindowsInPluginUpgrade et MacPluginUpgrade.

Ces paramètres sont disponibles au niveau global, au niveau du serveur virtuel, du groupe et de l’utilisateur. Chaque paramètre peut avoir la valeur Toujours, Essentiel ou Jamais. Pour obtenir une description de ces paramètres, reportez-vous à la section Comportements des plug-ins.

Paramètres CLI pour contrôler la mise à niveau du plug-in EPA

Citrix Gateway prend en charge les plug-ins EPA pour les systèmes d’exploitation Windows et Mac. Pour prendre en charge le contrôle de mise à niveau du plug-in EPA au niveau du serveur virtuel, Citrix Gateway prend en charge deux paramètres de serveur virtuel nommés WindowsePAPluginUpgrade et MacEpaPluginUpgrade.

Les paramètres sont disponibles au niveau du serveur virtuel. Chaque paramètre peut avoir la valeur Toujours, Essentiel ou Jamais. Pour obtenir une description de ces paramètres, voir Comportements des plug-ins.

Configuration VPN

Suivez ces étapes pour la configuration VPN des plug-ins Windows, Linux et Mac.

  1. Accédez à Citrix ADC > Stratégies > Session.

  2. Sélectionnez la stratégie de session souhaitée, puis cliquez sur Modifier.

  3. Sélectionnez l’onglet Expérience client .

    Paramètres de l'onglet Expérience client

  4. Ces options de boîte de dialogue affectent le comportement de mise à niveau.

    • Toujours
    • Essentiel
    • Jamais La valeur par défaut est Toujours.
  5. Cochez la case située à droite de chaque option. Sélectionnez la fréquence à laquelle appliquer le comportement de mise à niveau.

Option de mise

Configuration EPA

Suivez ces étapes pour la configuration EPA des plug-ins Windows, Linux et Apple.

  1. Accédez à Citrix Gateway > Virtual Servers.

  2. Sélectionnez un serveur et cliquez sur le bouton Modifier .

  3. Cliquez sur l’icône représentant un crayon .

    Cliquez sur l'icône crayon

  4. Cliquez sur Plus

    Plus de paramètres

  5. Les boîtes de dialogue qui s’affichent affectent le comportement de mise à niveau. Les options disponibles sont :

    • Toujours
    • Essentiel
    • Jamais

    Option de mise

Comment les utilisateurs se connectent à l’agent Citrix Secure Access