Cas d’utilisation : Rendre l’accès Internet d’entreprise conforme et sécurisé

Le directeur de la sécurité réseau dans une organisation financière veut protéger le réseau d’entreprise contre toute menace externe provenant du Web sous la forme de logiciels malveillants. Pour ce faire, le directeur doit gagner en visibilité pour contourner autrement le trafic crypté et contrôler l’accès aux sites Web malveillants. Le directeur est tenu de faire ce qui suit :

  • Interceptez et examinez tout le trafic, y compris SSL/TLS (trafic crypté), entrant et sortant du réseau d’entreprise.
  • Contournez l’interception des demandes vers des sites Web contenant des informations sensibles, telles que des informations financières de l’utilisateur ou des courriels.
  • Bloquer l’accès aux URL nuisibles identifiées comme servant du contenu nuisible ou pour adultes.
  • Identifiez les utilisateurs finaux (employés) de l’entreprise qui accèdent à des sites Web malveillants et bloquent l’accès à Internet pour ces utilisateurs ou bloquent les URL nuisibles.

Pour réaliser tout ce qui précède, le directeur peut configurer un proxy sur tous les périphériques de l’organisation et le pointer vers Citrix Secure Web Gateway (SWG), qui agit comme un serveur proxy dans le réseau. Le serveur proxy intercepte tout le trafic chiffré et non chiffré passant par le réseau de l’entreprise. Il demande l’authentification de l’utilisateur et associe le trafic à un utilisateur. Les catégories d’URL peuvent être spécifiées pour bloquer l’accès aux sites Web illégaux/nuisibles, adultes, malveillants et pourriels.

Pour réaliser ce qui précède, configurez les entités suivantes :

  • Serveur de noms DNS pour résoudre les noms d’hôtes.
  • Adresse IP de sous-réseau (SNIP) pour établir une connexion avec les serveurs d’origine. L’adresse SNIP doit avoir accès à Internet.
  • Serveur proxy en mode explicite pour intercepter tout le trafic HTTP et HTTPS sortant.
  • Profil SSL pour définir les paramètres SSL, tels que les chiffrements et les paramètres, pour les connexions.
  • Paire de clé de certificat CA pour signer le certificat du serveur pour l’interception SSL.
  • Stratégie SSL pour définir les sites Web à intercepter et à contourner.
  • Authentification du serveur virtuel, de la stratégie et de l’action pour garantir que seuls les utilisateurs valides ont accès.
  • Appflow collecteur pour envoyer des données à Citrix Application Delivery Management (ADM).

Les procédures CLI et GUI sont répertoriées pour cet exemple de configuration. Les valeurs d’exemple suivantes sont utilisées. Remplacez-les par des données valides pour les adresses IP, le certificat SSL et la clé, et les paramètres LDAP.

Nom Valeurs utilisées dans l’exemple de configuration
Adresse NSIP 192.0.2.5
Adresse IP du sous-réseau 198.51.100.5
Adresse IP du serveur virtuel LDAP 192.0.2.116
Adresse IP du serveur de noms DNS 203.0.113.2
Adresse IP du serveur proxy 192.0.2.100
Adresse IP MAS 192.0.2.41
Certificat d’autorité de certification pour l’interception SSL ns-swg-ca-certkey (certificat : ns_swg_ca.crt et clé : ns_swg_ca.key)
DN de base LDAP CN = Utilisateurs, DC = CTXNSSFB, DC = COM
DN de liaison LDAP CN = Administrateur, CN = Utilisateurs, DC = CTXNSSFB, DC = COM
Mot de passe de liaison LDAP ZZZZZ

Utilisation de l’assistant de passerelle Web sécurisée pour configurer l’interception et l’examen du trafic à destination et en provenance du réseau d’entreprise

La création d’une configuration pour intercepter et examiner le trafic chiffré en plus de l’autre trafic à destination et en provenance d’un réseau nécessite la configuration des paramètres proxy, SSLi, des paramètres d’authentification utilisateur et des paramètres de filtrage d’URL. Les procédures suivantes incluent des exemples de valeurs saisies.

Configurer l’adresse SNIP et le serveur de noms DNS

  1. Dans un navigateur Web, tapez l’adresse NSIP. Par exemple, http://192.0.2.5.

  2. Dans Nom d’utilisateur et mot de passe, tapez les informations d’identification de l’administrateur. L’écran suivant s’affiche.

    image localisée

  3. Cliquez dans la section Adresse IP du sous-réseau, puis entrez une adresse IP.

    image localisée

  4. Cliquez sur Terminé.

  5. Cliquez dans la section Nom d’hôte, Adresse IP DNS et Fuseau horaire, puis entrez des valeurs pour ces champs.

    image localisée

  6. Cliquez sur Terminé, puis sur Continuer.

Configurer les paramètres proxy

  1. Accédez à Secure Web Gateway > Assistant Passerelle Web sécurisée.

  2. Cliquez sur Démarrer, puis sur Continuer.

  3. Dans la boîte de dialogue Paramètres proxy, entrez un nom pour le serveur proxy explicite.

  4. Dans Mode Capture, sélectionnez Explicite.

  5. Entrez une adresse IP et un numéro de port.

    image localisée

  6. Cliquez sur Continuer.

Configurer les paramètres d’interception SSL

  1. Sélectionnez Activer l’interception SSL.

    image localisée

  2. Dans le profil SSL, cliquez sur « + » pour ajouter un nouveau profil SSL frontal et activer l’interception des sessions SSL dans ce profil.

    image localisée

  3. Cliquez sur OK, puis sur Terminé.

  4. Dans Select SSL Interception CA Certificate-Key Pair, cliquez sur « + » pour installer une paire de clés de certificat d’autorité de certification pour l’interception SSL.

    image localisée

  5. Cliquez sur Installer, puis sur Fermer.

  6. Ajoutez une stratégie pour intercepter tout le trafic. Cliquez sur Lier, puis sur Ajouter.

    image localisée

  7. Entrez un nom pour la stratégie et sélectionnez Avancé. Dans l’éditeur d’expressions, entrez true.

  8. Pour Action, sélectionnez INTERCEPT.

    image localisée

  9. Cliquez sur Créer, puis sur Ajouter pour ajouter une autre stratégie pour contourner les informations sensibles.

  10. Entrez un nom pour la stratégie et, dans Catégories d’URL, cliquez sur Ajouter.

  11. Sélectionnez les catégories Finance et Email et déplacez-les vers la liste Configuré.

  12. Pour Action, sélectionnez BYPASS.

    image localisée

  13. Cliquez sur Créer.

  14. Sélectionnez les deux stratégies créées précédemment, puis cliquez sur Insérer.

    image localisée

  15. Cliquez sur Continuer.

    image localisée

Configurer les paramètres d’authentification utilisateur

  1. Sélectionnez Activer l’authentification utilisateur. Dans le champ Type d’authentification, sélectionnez LDAP.

    image localisée

  2. Ajoutez les détails du serveur LDAP.

    image localisée

  3. Cliquez sur Créer.

  4. Cliquez sur Continuer.

Configurer les paramètres de filtrage d’URL

  1. Sélectionnez Activer la catégorisation d’URL, puis cliquez sur Lier.

    image localisée

  2. Cliquez sur Ajouter.

    image localisée

  3. Entrez un nom pour la stratégie. Pour Action, sélectionnez Refuser. Pour Catégories d’URL, sélectionnez Illegal/nuisible, Adulte, Malware et SPAM, puis déplacez-les vers la liste Configuré.

    image localisée

  4. Cliquez sur Créer.

  5. Sélectionnez la stratégie, puis cliquez sur Insérer.

    image localisée

  6. Cliquez sur Continuer.

    image localisée

  7. Cliquez sur Continuer.

  8. Cliquez sur Activer Analytics.

  9. Entrez l’adresse IP de Citrix ADM et pour Port, spécifiez 5557.

    image localisée

  10. Cliquez sur Continuer.

  11. Cliquez sur Terminé.

    image localisée

Utilisez Citrix ADM pour afficher les mesures clés pour les utilisateurs et déterminer les éléments suivants :

  • Comportement de navigation des utilisateurs de votre entreprise.
  • Catégories d’URL auxquelles les utilisateurs de votre entreprise accèdent.
  • Navigateurs utilisés pour accéder aux URL ou aux domaines.

Utilisez ces informations pour déterminer si le système de l’utilisateur est infecté par des logiciels malveillants ou comprendre le modèle de consommation de bande passante de l’utilisateur. Vous pouvez affiner les stratégies de votre appliance Citrix SWG pour restreindre ces utilisateurs ou bloquer d’autres sites Web. Pour plus d’informations sur l’affichage des mesures sur MAS, consultez le cas d’utilisation « Inspecter les points de terminaison » dansCas d’utilisation MAS.

Remarque

Définissez les paramètres suivants à l’aide de l’interface de ligne de commande.

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED

Exemple CLI

L’exemple suivant inclut toutes les commandes utilisées pour configurer l’interception et l’examen du trafic à destination et en provenance du réseau d’entreprise.

Configuration générale :

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED

Configuration de l’authentification :

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1

Configuration du serveur proxy et de l’interception SSL :

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

Configuration des catégories d’URL :

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ

Configuration AppFlow pour extraire des données dans Citrix ADM :

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1