Sécuriser

Pour sécuriser les communications entre votre site et l’application Citrix Workspace, vous pouvez intégrer vos connexions via l’application Citrix Workspace à l’aide d’un large choix de technologies sécurisées, dont :

  • Citrix Gateway : pour plus d’informations, reportez-vous aux rubriques de cette section et à la documentation Citrix Gateway et StoreFront.

Remarque :

Citrix recommande d’utiliser Citrix Gateway entre les serveurs StoreFront et les machines utilisateur.

  • Un pare-feu : les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez l’application Citrix Workspace avec un pare-feu de réseau qui mappe l’adresse IP interne du serveur sur une adresse Internet externe (c’est-à-dire, la traduction d’adresse de réseau, ou NAT), configurez l’adresse externe.

  • Serveur approuvé.

  • Pour les déploiements de Citrix Virtual Apps ou de l’Interface Web uniquement (non applicable à XenDesktop 7) : un serveur proxy SOCKS ou serveur proxy sécurisé (également appelé serveur proxy de sécurité, serveur proxy HTTPS ou serveur proxy de tunneling TLS). Vous pouvez utiliser des serveurs proxy pour limiter l’accès à l’intérieur et à l’extérieur de votre réseau, et pour gérer les connexions entre l’application Citrix Workspace et les serveurs. L’application Citrix Workspace prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.

  • Pour les déploiements Citrix Virtual Apps ou Interface Web uniquement : Citrix Secure Web Gateway ou solutions de relais SSL avec protocoles TLS. Les versions TLS 1.0 à 1.2 sont prises en charge.

Citrix Gateway

Citrix Gateway (anciennement Access Gateway) sécurise les connexions aux magasins StoreFront, et permet aux administrateurs de contrôler, de façon détaillée, l’accès utilisateur aux bureaux et applications.

Pour se connecter à des bureaux et des applications via Citrix Gateway :

  1. Spécifiez l’URL de Citrix Gateway qui vous a été fournie par votre administrateur. Vous pouvez effectuer cette opération de l’une des manières suivantes :

    • La première fois que vous utilisez l’interface utilisateur en libre-service, vous êtes invité à entrer l’adresse URL dans la boîte de dialogue Ajouter compte.
    • Lorsque vous utilisez l’interface utilisateur en libre-service ultérieurement, entrez l’URL en cliquant sur Préférences > Comptes > Ajouter.
    • Si vous établissez une connexion avec la commande storebrowse, entrez l’adresse URL sur la ligne de commande.

    L’URL spécifie la passerelle et, éventuellement, un magasin spécifique :

    • Pour vous connecter au premier magasin détecté par l’application Citrix Workspace, utilisez une URL au format suivant par exemple : https://gateway.company.com.
    • Pour vous connecter à un magasin spécifique, utilisez une URL au format https://gateway.company.com?<nommagasin> par exemple. Le format de cette URL dynamique n’est pas un format standard ; n’incluez pas le signe égal = dans l’URL. Si vous établissez une connexion à un magasin spécifique avec storebrowse, vous devrez peut-être utiliser des guillemets autour de l’URL dans la commande storebrowse.
  2. Lorsque vous y êtes invité, connectez-vous au magasin (via la passerelle) à l’aide de votre nom d’utilisateur, mot de passe et de jeton de sécurité. Pour de plus amples informations sur cette étape, consultez la documentation de Citrix Gateway.

    Lorsque l’authentification est terminée, vos bureaux et applications sont affichés.

Serveur proxy

Les serveurs proxy permettent de limiter l’accès à l’intérieur comme à l’extérieur du réseau, et de gérer les connexions établies entre l’application Citrix Workspace et votre déploiement Citrix Virtual Apps ou Citrix Virtual Desktops. L’application Citrix Workspace prend en charge le protocole SOCKS, de même que Citrix Secure Web Gateway et le Relais SSL Citrix, le protocole proxy sécurisé et l’authentification Stimulation/Réponse Windows NT (NTLM).

La liste des types de proxy pris en charge est limitée aux types Auto, None et Wpad par le contenu des fichiers Trusted_Regions.ini et Untrusted_Regions.ini. Si vous utilisez les types SOCKS, Secure ou Script, modifiez ces fichiers pour ajouter les types supplémentaires à la liste des types autorisés.

Remarque :

Pour garantir l’établissement d’une connexion sécurisée, activez le protocole TLS.

Serveur proxy sécurisé

La configuration de connexions utilisant le protocole de proxy sécurisé assure également la prise en charge de l’authentification Stimulation/Réponse Windows NT (NTLM). Si ce protocole est disponible, il est détecté et utilisé au moment de l’exécution sans nécessiter de configuration supplémentaire.

Important :

la prise en charge de la fonctionnalité NTLM requiert la présence de la bibliothèque OpenSSL (libcrypto.so) sur la machine utilisateur. Cette bibliothèque est généralement incluse dans les distributions Linux. Le cas échéant, elle est également téléchargeable à l’adresse http://www.openssl.org/.

Secure Web Gateway et SSL

Vous pouvez intégrer l’application Citrix Workspace avec Citrix Secure Web Gateway ou le service Relais SSL (Secure Sockets Layer) Citrix. L’application Citrix Workspace prend en charge le protocole TLS. TLS (Transport Layer Security) est la dernière version normalisée du protocole SSL. Le groupe de travail Internet Engineering Taskforce (IETF) l’a rebaptisé TLS lorsqu’il est devenu responsable du développement de SSL sous la forme d’une norme ouverte. TLS garantit la sécurité des communications de données grâce à l’authentification des serveurs, au cryptage du flux de données et aux contrôles d’intégrité des messages. Certaines organisations, notamment des organisations gouvernementales américaines, requièrent l’utilisation du protocole TLS pour la sécurisation de leurs communications de données. Ces organisations peuvent nécessiter l’utilisation d’une cryptographie validée, comme la norme FIPS 140 (Federal Information Processing Standard). La norme FIPS 140 est une norme de cryptographie.

Secure Web Gateway

Vous pouvez utiliser Citrix Secure Web Gateway en mode Normal ou en mode Relais afin de fournir un canal de communication sécurisé entre l’application Citrix Workspace et le serveur. Il n’est pas nécessaire de configurer l’application Citrix Workspace si vous utilisez Citrix Secure Web Gateway en mode Normal et si les utilisateurs se connectent via l’Interface Web.

L’application Citrix Workspace utilise des paramètres configurés à distance sur le serveur exécutant l’Interface Web pour se connecter aux serveurs exécutant Citrix Secure Web Gateway. Pour plus d’informations sur la configuration des paramètres de serveur proxy pour l’application Citrix Workspace, veuillez consulter la documentation de l’Interface Web.

Si Citrix Secure Web Gateway Proxy est installé sur un serveur dans le réseau sécurisé, vous pouvez l’utiliser en mode Relais. Pour de plus amples informations, consultez la documentation de Citrix Virtual Apps (Citrix Secure Web Gateway).

Si vous utilisez le mode Relais, le serveur Citrix Secure Web Gateway fonctionne comme un serveur proxy. Dans ce cas, vous devez configurer l’application Citrix Workspace pour qu’elle utilise :

  • le nom de domaine complet du serveur Citrix Secure Web Gateway ;
  • le numéro de port du serveur Citrix Secure Web Gateway. Le mode Relais n’est pas pris en charge par Citrix Secure Web Gateway, version 2.0.

Le nom de domaine complet (FQDN) doit contenir, dans l’ordre, les trois composants suivants :

  • Nom d’hôte
  • Domaine intermédiaire
  • Domaine de tête

Par exemple : mon_ordinateur.mon_entreprise.com est un nom de domaine complet car il liste dans l’ordre un nom d’hôte (mon_ordinateur), un domaine intermédiaire (mon_entreprise) et un domaine de tête (com). La combinaison du domaine intermédiaire et du domaine de tête (mon_entreprise.com) est appelée nom de domaine.

Relais SSL

Par défaut, le Relais SSL Citrix utilise le port TCP 443 sur le serveur Citrix Virtual Apps pour les communications sécurisées TLS. Lorsque le Relais SSL reçoit une connexion TLS, il décrypte les données avant de les rediriger sur le serveur.

Si vous configurez le Relais SSL Citrix pour l’écoute sur un port autre que le port 443, vous devez spécifier le numéro du port d’écoute non standard dans l’application Citrix Workspace.

Le Relais SSL Citrix vous permet de sécuriser les communications suivantes.

  • Entre une machine utilisateur et un serveur sur lesquels TLS est activé.
  • Avec l’Interface Web, entre le serveur Citrix Virtual Apps et le serveur Web.

Pour obtenir des informations sur la configuration et l’utilisation du Relais SSL en vue de sécuriser l’installation, veuillez consulter la documentation de Citrix Virtual Apps. Pour obtenir des informations sur la configuration de l’Interface Web en vue d’utiliser le cryptage TLS, veuillez consulter la documentation de l’Interface Web.

TLS

Vous pouvez contrôler les versions du protocole TLS qui peuvent être négociées en ajoutant les options de configuration suivantes dans la section [WFClient]:

  • MinimumTLS=1.0
  • MaximumTLS=1.2

Il s’agit des valeurs par défaut, qui sont implémentées en code. Modifiez-les comme bon vous semble.

Remarque :

  • Ces valeurs sont lues chaque fois qu’un programme démarre. Si vous les modifiez après le démarrage de self-service ou storebrowse, tapez : killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

  • L’application Citrix Workspace pour Linux n’autorise pas l’utilisation du protocole SSLv3.

L’application Citrix Workspace pour Linux prend en charge DTLS 1.0 et TLS 1.0, 1.1 et 1.2, avec les suites de chiffrement suivantes :

  • RSA+AES256-SHA (RSA pour l’échange de clés, AES 256 pour le cryptage, SHA-1 pour le digest)
  • RSA+AES256-SHA256 (RSA pour l’échange de clés, AES 256 pour le cryptage, SHA-256 pour le digest)
  • RSA+AES128-SHA (RSA pour l’échange de clés, AES 128 pour le cryptage, SHA-1 pour le digest)
  • RSA+DES-CBC3-SHA (RSA pour l’échange de clés, Triple DES pour le cryptage, SHA-1 pour le digest)
  • RSA+RC4128-MD5 (RSA pour l’échange de clés, RC4 128 pour le cryptage, MD5 pour le digest)
  • RSA+RC4128-SHA (RSA pour l’échange de clés, RC4 128 pour le cryptage, SHA-1 pour le digest)
  • RSA+AES128_GCM+SHA256 (RSA pour l’échange de clés, AES 128 pour le cryptage, SHA-256 pour le digest)
  • RSA+AES256_GCM+SHA384 (RSA pour l’échange de clés, AES 256 pour le cryptage, SHA-384 pour le digest)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Diffie-Hellman à courbe elliptique pour l’échange de clés, RSA pour l’authentification, AES 256 et GCM SHA 384 pour le digest)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (Diffie-Hellman à courbe elliptique pour l’échange de clés, RSA pour l’authentification, AES 256 et CBC SHA 384 pour le digest)
  • TLS_RSA_AES256_CBC_SHA256 (RSA pour l’authentification, AES 256 et CBC SHA 256 pour le digest)

La taille réelle de la clé de cryptage est telle que définie ci-dessus pour cette suite de chiffrement SSL/TLS standard :

  • Algorithme RC4 : 128 bits (chiffrement de flux)
  • Algorithme triple DES : 3x64 bits (taille réelle 3x56 = 168 bits) (taille de bloc 64 bits)
  • Algorithme AES : 128 bits ou 256 bits (taille de bloc 128 bits)
  • Pour l’échange de clés RSA et l’authentification, la plage de longueurs de clé prises en charge (module) va de 1 024 bits à 4 096 bits.
  • Pour l’échange de clés ECDH, les courbes elliptiques prises en charge sont NIST P-256 et NIST P-384 (longueurs de clé de 256 et 384 bits).

Pour sélectionner la suite de chiffrement, ajoutez l’option de configuration suivante dans la section [WFClient] :

  • SSLCiphers=GOV

Il s’agit de la valeur par défaut. Les autres valeurs reconnues sont COM et ALL.

Remarque :

Tout comme avec la configuration de la version TLS, si vous changez cette valeur après le démarrage de self-service ou storebrowse, vous devez taper : killall AuthManagerDaemon ServiceRecord selfservice storebrowse

Mise à jour cryptographique

Cette fonctionnalité est un changement important au protocole de communication sécurisé. Les suites de chiffrement avec le préfixe TLS_RSA_ ne proposent pas la fonctionnalité Forward Secrecy et sont considérées comme faibles. Ces suites de chiffrement ont été abandonnées dans Citrix Receiver version 13.10 avec une option de rétrocompatibilité.

Les suites de chiffrement TLS_RSA_ ont été entièrement supprimées. Au lieu de cela, les suites de chiffrement TLS_ECDHE_RSA_ avancées sont prises en charge. Si votre environnement n’est pas configuré avec les suites de chiffrement TLS_ECDHE_RSA_, les lancements de clients ne sont pas pris en charge en raison de la faiblesse du chiffrement. Pour l’authentification client, les clés RSA 1536 bits sont prises en charge.

Les suites de chiffrement avancées suivantes sont prises en charge :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Suites de chiffrement

Pour activer différentes suites de chiffrement, modifiez la valeur du paramètre SSLCiphers sur ALL, COM ou GOV. Par défaut, l’option est définie sur ALL dans le fichier All_Regions.ini du répertoire $ICAROOT/config.

Les ensembles suivants de suites de chiffrement sont fournis respectivement par ALL, GOV et COM :

  • TOUTES
    • les 3 chiffrements sont pris en charge.
  • GOV
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • COM
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Pour plus d’informations sur le dépannage, reportez-vous à la section Suites de chiffrement.

Suites de chiffrement obsolètes

Important :

À compter de la version 1903, Citrix ne prendra en charge que les trois suites de chiffrement suivantes :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 – GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 – GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – COM/ALL

Cette rubrique, Suites de chiffrement obsolètes s’applique uniquement aux versions 1901 et antérieures. À partir de la version 1903, seules les suites de chiffrement TLS_ECDHE_RSA_ avancées sont prises en charge. Pour plus d’informations, veuillez consulter la section Mise à jour cryptographique. Cette section est incluse uniquement à titre de référence et uniquement pour les clients utilisant les versions 1901 et antérieures du client. Les suites de chiffrement mentionnées ci-dessous sont obsolètes et non rétrocompatibles.

Les suites de chiffrement avec le préfixe TLS_RSA_ ne proposent pas la fonctionnalité Forward Secrecy De manière générale, ces suites de chiffrement sont maintenant obsolètes dans le secteur. Toutefois, pour prendre en charge la rétrocompatibilité avec les anciennes versions de Citrix Virtual Apps and Desktops, l’application Citrix Workspace pour Linux peut utiliser ces suites de chiffrement.

Des drapeaux ont été créés pour permettre l’utilisation de suites de chiffrement obsolètes. Dans l’application Citrix Workspace 1808 pour Linux, ces indicateurs sont activés par défaut, mais n’appliquent pas la fin de prise en charge des suites de chiffrement à l’aide d’algorithmes de chiffrement AES ou 3DES par défaut. Toutefois, vous pouvez modifier et utiliser ces indicateurs pour appliquer la fin de prise en charge de manière plus stricte.

Pour une meilleure sécurité, définissez l’indicateur Enable_TLS_RSA_ sur False.

Voici une liste des suites de chiffrement obsolètes :

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Remarque :

Les deux dernières suites de chiffrement utilisent l’algorithme RC4 et sont obsolètes parce qu’elles ne sont pas sécurisées. Vous pouvez également considérer la suite de chiffrement TLS_RSA_3DES_CBC_EDE_SHA comme étant obsolète. Vous pouvez utiliser ces indicateurs pour appliquer toutes ces suites obsolètes.

Pour plus d’informations sur la configuration de DTLS v1.2, consultez la section Transport adaptatif.

Conditions préalables :

Si vous utilisez les versions 1901 et antérieures, pour configurer cette fonctionnalité sur le client, effectuez l’étape suivante :

Si .ICAClient est déjà présent dans le répertoire de base de l’utilisateur actuel :

  • Supprimez le fichier All_Regions.ini

Ou

  • Pour conserver le fichier AllRegions.ini, ajoutez les lignes suivantes à la fin de la section [Network\SSL] :
    • Enable_RC4-MD5=
    • Enable_RC4_128_SHA=
    • Enable_TLS_RSA_=

Si le dossier .ICAClient n’existe pas dans le dossier de base de l’utilisateur actuel, cela indique une nouvelle installation de l’application Citrix Workspace. Dans ce cas, le paramètre par défaut des fonctionnalités est conservé.

Configurer les suites de chiffrement obsolètes

Pour configurer les suites de chiffrement obsolètes :

  1. Ouvrez le fichier $ICAROOT/config/All_Regions.ini.
  2. Dans la section Network\SSL, utilisez les trois indicateurs suivants pour activer ou désactiver les suites de chiffrement obsolètes :

    • Enable_TLS_RSA_ : par défaut, l’indicateur Enable_TLS_RSA_ est défini sur True. Définissez l’indicateur Enable_TLS_RSA_ sur true pour afficher les suites de chiffrement suivantes :

      • TLS_RSA_AES256_GCM_SHA384
      • TLS_RSA_AES128_GCM_SHA256
      • TLS_RSA_AES256_CBC_SHA256
      • TLS_RSA_AES256_CBC_SHA
      • TLS_RSA_AES128_CBC_SHA
      • TLS_RSA_3DES_CBC_EDE_SHA

    Important :

    Définissez l’indicateur Enable_TLS_RSA_ sur true pour utiliser les deux autres suites de chiffrement Enable_RC4-MD5 et Enable_RC4_128_SHA.

    • Enable_RC4-MD5 : par défaut, l’indicateur Enable_RC4-MD5 est défini sur False. Définissez cet indicateur sur true pour activer la suite de chiffrement RC4-MD5.
    • Enable_RC4_128_SHA : par défaut, l’indicateur Enable_RC4_128_SHA est défini sur False. Définissez cet indicateur sur true pour activer la suite de chiffrement RC4_128_SHA.
  3. Enregistrez le fichier.

Le tableau suivant répertorie les suites de chiffrement compris dans chaque ensemble : Tableau 1 - Matrice de prise en charge de la suite de chiffrement

Image d'un tableau affichant la matrice de prise en charge des suites de chiffrement

Remarque :

Toutes les suites de chiffrement ci-dessus sont conformes aux normes FIPS et SP800-52. Les deux premières sont autorisées uniquement pour les connexions (D) TLS1.2. Consultez Tableau 1 - Matrice de prise en charge de la suite de chiffrement pour une représentation complète de la prise en charge de la suite de chiffrement.