Sécuriser

Pour sécuriser les communications entre votre site et l’application Citrix Workspace, vous pouvez intégrer vos connexions via l’application Citrix Workspace à l’aide de technologies sécurisées telles que Citrix Gateway :

Remarque :

Citrix recommande d’utiliser Citrix Gateway entre les serveurs StoreFront et les machines utilisateur.

  • Un pare-feu : les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez l’application Citrix Workspace avec un pare-feu de réseau qui mappe l’adresse IP interne du serveur sur une adresse Internet externe (c’est-à-dire, la traduction d’adresse de réseau, ou NAT), configurez l’adresse externe.

  • Serveur approuvé.

  • Pour les déploiements de Citrix Virtual Apps uniquement (non applicable à XenDesktop 7) : un serveur proxy SOCKS ou serveur proxy sécurisé (également appelé serveur proxy de sécurité, serveur proxy HTTPS ou serveur proxy de tunneling TLS). Vous pouvez utiliser des serveurs proxy pour limiter l’accès à l’intérieur et à l’extérieur de votre réseau, et pour gérer les connexions entre l’application Citrix Workspace et les serveurs. L’application Citrix Workspace prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.

  • Pour les déploiements Citrix Virtual Apps : Citrix Secure Web Gateway ou solutions de relais SSL avec protocoles TLS. Les versions TLS 1.0 à 1.2 sont prises en charge.

Citrix Gateway

Citrix Gateway (anciennement Access Gateway) sécurise les connexions aux magasins StoreFront, et permet aux administrateurs de contrôler, de façon détaillée, l’accès utilisateur aux bureaux et applications.

Pour se connecter à des bureaux et des applications via Citrix Gateway :

  1. Spécifiez l’URL de Citrix Gateway qui vous a été fournie par votre administrateur. Vous pouvez effectuer cette opération de l’une des manières suivantes :

    • La première fois que vous utilisez l’interface utilisateur en libre-service, vous êtes invité à entrer l’adresse URL dans la boîte de dialogue Ajouter compte.
    • Lorsque vous utilisez l’interface utilisateur en libre-service ultérieurement, entrez l’URL en cliquant sur Préférences > Comptes > Ajouter.
    • Si vous établissez une connexion avec la commande storebrowse, entrez l’adresse URL sur la ligne de commande.

    L’URL spécifie la passerelle et, éventuellement, un magasin spécifique :

    • Pour vous connecter au premier magasin détecté par l’application Citrix Workspace, utilisez une URL au format suivant par exemple : https://gateway.company.com.
    • Pour vous connecter à un magasin spécifique, utilisez une URL au format https://gateway.company.com?<nommagasin> par exemple. Le format de cette URL dynamique n’est pas un format standard ; n’incluez pas le signe égal = dans l’URL. Si vous établissez une connexion à un magasin spécifique avec storebrowse, vous devrez peut-être utiliser des guillemets autour de l’URL dans la commande storebrowse.
  2. Lorsque vous y êtes invité, connectez-vous au magasin (via la passerelle) à l’aide de votre nom d’utilisateur, mot de passe et de jeton de sécurité. Pour de plus amples informations sur cette étape, consultez la documentation de Citrix Gateway.

    Lorsque l’authentification est terminée, vos bureaux et applications sont affichés.

Serveur proxy

Les serveurs proxy permettent de limiter l’accès à l’intérieur comme à l’extérieur du réseau, et de gérer les connexions établies entre l’application Citrix Workspace et votre déploiement Citrix Virtual Apps and Desktops. L’application Citrix Workspace prend en charge le protocole SOCKS, de même que Citrix Secure Web Gateway et le Relais SSL Citrix, le protocole proxy sécurisé et l’authentification Stimulation/Réponse Windows NT (NTLM).

La liste des types de proxy pris en charge est limitée aux types Auto, None et Wpad par le contenu des fichiers Trusted_Regions.ini et Untrusted_Regions.ini. Si vous utilisez les types SOCKS, Secure ou Script, modifiez ces fichiers pour ajouter les types supplémentaires à la liste des types autorisés.

Remarque :

Pour garantir l’établissement d’une connexion sécurisée, activez le protocole TLS.

Serveur proxy sécurisé

La configuration de connexions utilisant le protocole de proxy sécurisé assure également la prise en charge de l’authentification Stimulation/Réponse Windows NT (NTLM). Si ce protocole est disponible, il est détecté et utilisé au moment de l’exécution sans nécessiter de configuration supplémentaire.

Important :

La prise en charge de NTLM nécessite les bibliothèques OpenSSL 1.1.1d et libcrypto.so. Installez les bibliothèques sur la machine utilisateur. Ces bibliothèques sont souvent incluses dans les distributions Linux. Vous pouvez également les télécharger depuis http://www.openssl.org/.

Secure Web Gateway et SSL

Vous pouvez intégrer l’application Citrix Workspace avec Citrix Secure Web Gateway ou le service Relais SSL (Secure Sockets Layer) Citrix. L’application Citrix Workspace prend en charge le protocole TLS. TLS (Transport Layer Security) est la dernière version normalisée du protocole SSL. Le groupe de travail Internet Engineering Taskforce (IETF) l’a rebaptisé TLS lorsqu’il est devenu responsable du développement de SSL sous la forme d’une norme ouverte. TLS garantit la sécurité des communications de données grâce à l’authentification des serveurs, au cryptage du flux de données et aux contrôles d’intégrité des messages. Certaines organisations, notamment des organisations gouvernementales américaines, requièrent l’utilisation du protocole TLS pour la sécurisation de leurs communications de données. Ces organisations peuvent nécessiter l’utilisation d’une cryptographie validée, comme la norme FIPS 140 (Federal Information Processing Standard). La norme FIPS 140 est une norme de cryptographie.

Secure Web Gateway

Vous pouvez utiliser Citrix Secure Web Gateway en mode Normal ou en mode Relais afin de fournir un canal de communication sécurisé entre l’application Citrix Workspace et le serveur. Il n’est pas nécessaire de configurer l’application Citrix Workspace si vous utilisez Citrix Secure Web Gateway en mode Normal.

Si Citrix Secure Web Gateway Proxy est installé sur un serveur dans le réseau sécurisé, vous pouvez l’utiliser en mode Relais. Pour de plus amples informations, consultez la documentation de Citrix Virtual Apps (Citrix Secure Web Gateway).

Si vous utilisez le mode Relais, le serveur Citrix Secure Web Gateway fonctionne comme un serveur proxy. Dans ce cas, vous devez configurer l’application Citrix Workspace pour qu’elle utilise :

  • le nom de domaine complet du serveur Citrix Secure Web Gateway ;
  • le numéro de port du serveur Citrix Secure Web Gateway. Le mode Relais n’est pas pris en charge par Citrix Secure Web Gateway, version 2.0.

Le nom de domaine complet (FQDN) doit contenir, dans l’ordre, les trois composants suivants :

  • Nom d’hôte
  • Domaine intermédiaire
  • Domaine de tête

Par exemple : mon_ordinateur.mon_entreprise.com est un nom de domaine complet car il liste dans l’ordre un nom d’hôte (mon_ordinateur), un domaine intermédiaire (mon_entreprise) et un domaine de tête (com). La combinaison du domaine intermédiaire et du domaine de tête (mon_entreprise.com) est appelée nom de domaine.

Relais SSL

Par défaut, le Relais SSL Citrix utilise le port TCP 443 sur le serveur Citrix Virtual Apps pour les communications sécurisées TLS. Lorsque le Relais SSL reçoit une connexion TLS, il décrypte les données avant de les rediriger sur le serveur.

Si vous configurez le Relais SSL Citrix pour l’écoute sur un port autre que le port 443, vous devez spécifier le numéro du port d’écoute non standard dans l’application Citrix Workspace.

Le Relais SSL Citrix vous permet de sécuriser les communications suivantes.

  • Entre une machine utilisateur et un serveur sur lesquels TLS est activé.

Pour obtenir des informations sur la configuration et l’utilisation du Relais SSL en vue de sécuriser l’installation, veuillez consulter la documentation de Citrix Virtual Apps.

TLS

Vous pouvez contrôler les versions du protocole TLS qui peuvent être négociées en ajoutant les options de configuration suivantes dans la section [WFClient]:

  • MinimumTLS=1.2
  • MaximumTLS=1.2

Il s’agit des valeurs par défaut, qui sont implémentées en code. Modifiez-les comme bon vous semble.

Remarque :

  • Ces valeurs sont lues chaque fois qu’un programme démarre. Si vous les modifiez après le démarrage de self-service ou storebrowse, tapez : killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

  • L’application Citrix Workspace pour Linux n’autorise pas l’utilisation du protocole SSLv3.

Pour sélectionner la suite de chiffrement, ajoutez l’option de configuration suivante dans la section [WFClient] :

  • SSLCiphers=GOV

Il s’agit de la valeur par défaut. Les autres valeurs reconnues sont COM et ALL.

Remarque :

Tout comme avec la configuration de la version TLS, si vous changez cette valeur après le démarrage de self-service ou storebrowse, vous devez taper : killall AuthManagerDaemon ServiceRecord selfservice storebrowse

Mise à jour cryptographique

Cette fonctionnalité est un changement important au protocole de communication sécurisé. Les suites de chiffrement avec le préfixe TLS_RSA_ ne proposent pas la fonctionnalité Forward Secrecy et sont considérées comme faibles.

Les suites de chiffrement TLS_RSA_ ont été entièrement supprimées. Au lieu de cela, les suites de chiffrement TLS_ECDHE_RSA_ avancées sont prises en charge. Si votre environnement n’est pas configuré avec les suites de chiffrement TLS_ECDHE_RSA_, les lancements de clients ne sont pas pris en charge en raison de la faiblesse du chiffrement. Pour l’authentification client, les clés RSA 1536 bits sont prises en charge.

Les suites de chiffrement avancées suivantes sont prises en charge :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

DTLS v1.0 prend en charge les suites de chiffrement suivantes :

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_EMPTY_RENEGOTIATION_INFO_SCSV

DTLS v1.2 prend en charge les suites de chiffrement suivantes :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Remarque :

À partir des versions 1903 et ultérieures, DTLS est pris en charge à partir de Citrix Gateway 12.1 et versions ultérieures. Pour plus d’informations sur les suites de chiffrement prises en charge par DTLS pour Citrix Gateway, consultez Prise en charge du protocole DTLS

Suites de chiffrement

Pour activer différentes suites de chiffrement, modifiez la valeur du paramètre SSLCiphers sur ALL, COM ou GOV. Par défaut, l’option est définie sur ALL dans le fichier All_Regions.ini du répertoire $ICAROOT/config.

Les ensembles suivants de suites de chiffrement sont fournis respectivement par ALL, GOV et COM :

  • ALL
    • les 3 chiffrements sont pris en charge.
  • GOV
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • COM
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Pour plus d’informations sur le dépannage, reportez-vous à la section Suites de chiffrement.

Les suites de chiffrement avec le préfixe TLS_RSA_ ne proposent pas la fonctionnalité Forward Secrecy De manière générale, ces suites de chiffrement sont maintenant obsolètes dans le secteur. Toutefois, pour prendre en charge la rétrocompatibilité avec les anciennes versions de Citrix Virtual Apps and Desktops, l’application Citrix Workspace pour Linux peut utiliser ces suites de chiffrement.

Pour une meilleure sécurité, définissez l’indicateur Enable\_TLS\_RSA\_ sur False.

Voici une liste des suites de chiffrement obsolètes :

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Remarque :

Les deux dernières suites de chiffrement utilisent l’algorithme RC4 et sont obsolètes parce qu’elles ne sont pas sécurisées. Vous pouvez également considérer la suite de chiffrement TLS_RSA_3DES_CBC_EDE_SHA comme étant obsolète. Vous pouvez utiliser ces indicateurs pour appliquer toutes ces suites obsolètes.

Pour de plus amples informations sur la configuration de DTLS v1.2, consultez la section Transport adaptatif dans la documentation de Citrix Virtual Apps and Desktops.

Conditions préalables :

Si vous utilisez les versions 1901 et antérieures, suivez les étapes suivantes :

Si .ICAClient est déjà présent dans le répertoire de base de l’utilisateur actuel :

  • Supprimez le fichier All\_Regions.ini

Ou

  • Pour conserver le fichier AllRegions.ini, ajoutez les lignes suivantes à la fin de la section [Network\SSL] :
    • Enable_RC4-MD5=
    • Enable_RC4_128_SHA=
    • Enable_TLS_RSA_=

Si le dossier .ICAClient n’existe pas dans le dossier de base de l’utilisateur actuel, cela indique une nouvelle installation de l’application Citrix Workspace. Dans ce cas, le paramètre par défaut des fonctionnalités est conservé.

Le tableau suivant répertorie les suites de chiffrement compris dans chaque ensemble : Tableau 1 - Matrice de prise en charge de la suite de chiffrement

Image d'un tableau affichant la matrice de prise en charge des suites de chiffrement

Remarque :

Toutes les suites de chiffrement ci-dessus sont conformes aux normes FIPS et SP800-52. Les deux premières sont autorisées uniquement pour les connexions (D) TLS1.2. Consultez Tableau 1 - Matrice de prise en charge de la suite de chiffrement pour une représentation complète de la prise en charge de la suite de chiffrement.

Sécuriser