Guide de preuve de concept : Redirection d’URL vers Secure Browser avec Citrix ADC dans Azure

Aperçu

Voici les étapes de configuration pour configurer un ADC, configurer SSL Forward Proxy et Interception SSL à l’aide du dernier modèle de marché Citrix ADC. La fonction Redirection d’URL vers Secure Browser de l’ADC permet aux administrateurs de définir automatiquement des catégories de sites Web spécifiques à rediriger du navigateur local vers Secure Browser. Le Citrix ADC agit comme un proxy intermédiaire pour effectuer l’interception entre la navigation locale et Internet, ce qui permet d’isoler le Web et de protéger le réseau d’entreprise. Cette fonctionnalité améliore la sécurité sans compromettre l’expérience utilisateur.

Architecture conceptuelle

Redirection d'URL vers Secure Browser Service Architecture

Portée

Ce guide de validation de concept décrit les éléments suivants :

  1. Obtenir un compte d’évaluation du navigateur sécurisé
  2. Configurer ADC dans Azure
  3. Configurer l’appliance Citrix ADC en tant que proxy
  4. Configurer l’interception SSL
  5. Configurer la stratégie et les actions de réécriture

Étapes de déploiement

Section 1 : Obtenir un compte d’évaluation sécurisé du navigateur

Document de référence pour Secure Browser Service

Demander une version d’essai du navigateur sécurisé

  1. Accédez à votre compte Citrix Cloud et entrez le nom d’utilisateur et le mot de passe

  2. Cliquez sur Sign In. Si votre compte gère plus d’un client, sélectionnez le

    Connectez-vous à Citrix Cloud

  3. Double-cliquez sur la vignette du navigateur sécurisé.

    Tuile de navigateur sécurisé

  4. Si vous savez qui est votre équipe de compte, contactez-lui pour obtenir l’évaluation approuvée. Si vous ne savez pas qui est votre équipe de compte, passez à l’étape suivante.

  5. Cliquez sur Demander un appel

    Demander un appel

  6. Entrez vos coordonnées et dans la section Commentaires spécifiez « Version d’essai du Secure Browser Service ».

  7. Cliquez sur Soumettre.

    Demander un formulaire d'appel

    Remarque :

    Citrix Sales vous contactera pour vous donner accès au service. Ce n’est pas immédiat, un représentant commercial Citrix contactera

  8. Une fois que vous avez approuvé la version d’évaluation Secure Browser, reportez-vous à l’application Publier un navigateur sécurisé de Citrix Doc pour publier un navigateur sécurisé.

Activer les paramètres d’URL

  1. Dans votre abonnement Citrix Cloud, double-cliquez sur la vignette Secure Browser

  2. Dans votre navigateur publié, appelé « navigateur » dans cet exemple, cliquez sur les trois points et sélectionnez Stratégies

    application de navigateur publiée

  3. Activer la stratégie Paramètres d’URL sur votre navigateur publié

    Activation de la stratégie Paramètres d'URL

Section 2 : Configurer ADC dans Azure

L’ADC peut être configuré dans n’importe quel nuage de choix. Dans cet exemple, Azure est notre Cloud de choix.

Configurer une instance ADC

  1. Accédez à Toutes les ressources et cliquez sur + le bouton Ajouter, recherchez Citrix ADC

  2. Sélectionner un modèle Citrix ADC

  3. Sélectionnez le plan logiciel en fonction de vos besoins (dans cet exemple Bring Your Own License)

  4. Cliquez sur Créer

    Configurer ADC dans Azure

Configurer la carte NIC

  1. Accédez à Toutes les ressources et sélectionnez la carte NIC pour l’instance ADC

  2. Sélectionnez Configurations IP, notez l’ adresse de gestion ADC

  3. Activez les paramètres de transfert IP, enregistrez les modifications.

    Configurer la carte réseau pour ADC

Configurer l’adresse IP virtuelle

  1. Cliquez sur Ajouter, définissez virtualip comme nom de la nouvelle configuration.

  2. Sélectionnez Static et ajoutez une nouvelle adresse IP après l’adresse de gestion

  3. Activer l’option Adresse publique et créer une nouvelle adresse IP publique

  4. Enregistrer les modifications

    Configurer l'adresse IP virtuelle

Configurer le nom de domaine complet sur le client

  1. Accédez à la ressource Adresse IP publique créée pour la virtualip configuration

  2. Cliquez sur Configurationet ajoutez une étiquette DNS (dans cet exemple, urlredirection.eastus.cloudapp.azure.com)

    Définir le nom de domaine complet

Configurer les règles de mise en réseau

  1. Ajouter les règles de mise en réseau suivantes

    Règles de réseau

    Remarque :

    Vous pouvez choisir de fermer les ports 22 et 443 une fois la configuration terminée, car ces ports ne sont nécessaires qu’à la connexion à la console de gestion à des fins de configuration.

  2. À ce stade, l’instance ADC dans Azure est configurée

Section 3 : Configurer l’appliance Citrix ADC en tant que proxy

Configurez l’ADC en tant que proxy pour acheminer le trafic depuis le navigateur client vers Internet.

Se connecter à la console de gestion ADC

  1. Accédez à la console de gestion Citrix ADC en entrant l’adresse IP publique de l’instance dans la barre de recherche de votre navigateur

    Remarque :

    Utilisez l’adresse IP de la machine que vous avez provisionnée dans les étapes précédentes, dans cet exemple https://40.88.150.164/

  2. Connectez-vous à la console en saisissant le nom d’utilisateur et le mot de passe que vous avez configurés lors des étapes précédentes

    Se connecter à la console de gestion

  3. Dans l’écran de configuration initiale, cliquez sur Continuer

Télécharger les licences

  1. Accédez à Système > Licences > Gérer les licences

  2. Chargez les licences nécessaires pour ADC.

    Remarque :

    Les licences que vous apportez doivent prendre en charge les fonctionnalités mises en évidence dans les étapes 11 et 13 sous Configurer les fonctionnalités de base et configurer les fonctionnalités avancées (par exemple CNS_v3000_Server_plt_retail.lic et CNS_webf_sserver_retail.lic)

    Gérer les licences

  3. Redémarrez le serveur après avoir téléchargé les deux licences.

  4. Après le redémarrage, connectez-vous à nouveau à la gestion

  5. Accédez à Système > Paramètres > Configurer les modes

  6. Seules deux options doivent être activées le transfert basé sur Mac et la découverte du MTU de chemin

    Configurer les modes

    Configurer les modes

  7. Accédez à Système > Paramètres > Configurer les fonctionnalités de base

    Option Configure Basic Features

  8. Sélectionnez : SSL OffloadingLoad Balancing, RewriteAuthentication, Authorization, and Auditing, Content Switching, et Integrated Caching

    Option Configure Basic Features

  9. Accédez à Système > Paramètres > Configurer les fonctionnalités avancées

    Configurer des fonctionnalités avancées

  10. Sélectionnez : Cache Redirection, IPv6 Protocol Translation, AppFlow, Reputation, Forward Proxy, Content Inspection, Responder, URL Filtering, et SSL Interception

    Configurer des fonctionnalités avancées

Configurer le serveur NTP

  1. Accédez à Système > Serveurs NTP > Ajouter

    Configurer le serveur NTP

  2. Créer un serveur par exemple pool.ntp.org

    Configurer le serveur NTP

  3. Activer NTP lorsque vous y êtes invité et définissez le serveur sur activé

    Configurer le service NTP

  4. Enregistrer la configuration à partir de l’action d’enregistrement du portail de gestion

    Enregistrer la configuration

  5. Ouvrez une session SSH à l’adresse de gestion ADC, connectez-vous avec les informations d’identification que vous avez utilisées lors du provisionnement de l’ADC à partir d’Azure

Configurer le profil TCP et vServer

  1. Obtenir les étapes virtualip de la Section 2 et entrer dans la commande (dans cet exemple 10.1.0.5)

  2. Exécutez les commandes suivantes avec l’ sslproxy adresse, par exemple virtualip :

  3. Pour ajouter un profil TCP :

    add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
    
  4. Pour ajouter un serveur virtuel

    add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
    
    bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
    
    add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
    
    set cs vserver sslproxy01 -netProfile proxy-netprofile01
    
    set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
    
    save ns config
    
  5. Pour modifier les paramètres du cache, revenez à la session de gestion sur le navigateur

  6. Accédez à Optimisation > Mise en cache intégrée

  7. Accédez à Paramètres > Modifier les paramètres du cache

    Modifier les paramètres du cache

  8. Définissez la limite d’utilisation de la mémoire sur 250 MB et cliquez sur OK

    Limite d'utilisation de mémoire

Configurer le client pour la redirection d’URL

  1. Sur un client, par exemple Firefox

  2. Configurer le proxy de votre navigateur pour virtualip, IP publique ou nom de domaine complet : 8080 que vous avez configuré dans la Section 2 (par exemple, urlredirection.eastus.cloudapp.azure.com:8080)

    Configurer le proxy du navigateur

  3. Maintenant que nous avons un ADC configuré, testez toute connectivité de site Web à partir du navigateur avec l’ADC agissant comme un proxy.

Section 4 : Configurer l’interception SSL

L’interception SSL utilise une stratégie qui spécifie le trafic à intercepter, bloquer ou autoriser. Citrix vous recommande de configurer une stratégie générique pour intercepter le trafic et des stratégies plus spécifiques pour contourner un certain trafic.

Références :

Interception SSL

Catégories d’URL

Exemple vidéo de configuration

Créer une clé RSA

  1. Accédez à Gestion du trafic > SSL > Fichiers SSL > Clés

  2. Sélectionnez Créer une clé RSA

    Créer une clé RSA

  3. Sélectionnez le nom du fichier de clé et la taille de clé requise

    Créer une clé RSA

  4. Une fois la clé créée, téléchargez le .key fichier pour une utilisation ultérieure

    Créer une clé RSA

Créer une demande de signature de certificat (CSR)

  1. Accédez à Gestion du trafic > SSL > Fichiers SSL > CSR > Créer une demande de signature de certificat (CSR)

    RSE

  2. Nommez le fichier de requête, par exemple semesec_req1.req

    Création de la RSE

  3. Cliquez sur Nom du fichier de clé > Appliquer le nom du fichier clé est celui créé à l’étape précédente, dans cet exemple smesec_key1.key

    Création de la RSE

  4. Après avoir sélectionné la clé, continuez à remplir les espaces requis : Nom commun, Nom de l’organisation et État ou province

  5. Cliquez sur Créer

Créer un certificat

  1. Accédez à Gestion du trafic > SSL > Fichiers SSL > Certificats > Créer un certificat

    Créer un certificat

  2. Donnez un nom au certificat et choisissez le fichier de demande de certificat (.req) et le nom de fichier de clé (.key) créés lors des étapes précédentes

    Créer un certificat

  3. Cliquez sur Créer

  4. Une fois le certificat créé, téléchargez le .cert fichier pour une utilisation ultérieure

    Créer un certificat

Créer une stratégie SSL INTERCEPT

  1. Accédez à Gestion du trafic > SSL > Stratégies

  2. Cliquez sur Ajouter

    Créer une stratégie SSL

  3. Donnez un nom à la stratégie et sélectionnez l’action INTERCEPT

  4. Expression pour intercepter les nouvelles :

    client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

  5. Cliquez sur Créer

    Créer une interception SSL

  6. Pour lier la stratégie Interception au serveur virtuel, accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

    SSL proxy01

  7. Sélectionnez le serveur virtuel, dans cet exemple sslproxy01

  8. Sélectionnez Ajouter des stratégies SSL et cliquez sur Aucune liaison de stratégie SSL.

  9. Liez la politique d’interception :

    Politique d'interception de liaison

Créer une stratégie de contournement SSL

  1. Accédez à Gestion du trafic > SSL > Stratégies

  2. Cliquez sur Ajouter

    Créer une stratégie SSL

  3. Donnez un nom à la stratégie et sélectionnez l’action NOOP - il n’y a pas d’option BYPASS, voir étape suivante

  4. Expression pour contourner la stratégie : CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

    Créer une stratégie de contournement

  5. Accédez à Sécurité > Proxy de transfert SSL > Stratégies d’interceptionSSL

    Stratégie de contournement SSL

  6. Sélectionnez la stratégie pour la modifier

  7. Changer l’action de NOOP à BYPASS

  8. Cliquez sur OK.

    Stratégie de contournement SSL

  9. Vérifiez que l’action est maintenant BYPASS

  10. Retournez à Gestion du trafic > SSL > Stratégies pour vérifier la modification

    Politique de contournement

  11. Pour lier la stratégie de contournement au serveur virtuel, accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

    SSL proxy01

  12. Double-cliquez sur le serveur virtuel, dans cet exemple sslproxy01

  13. Sélectionnez Ajouter des stratégies SSL et cliquez sur Liaison de stratégie SSL.

  14. Liez la stratégie de contournement > Ajouter

    Étape 5.7

  15. Cliquez sur Lier

    Étape 5.8

    Remarque :

    Cette stratégie est créée pour contourner l’interception ADC pour le trafic vers un navigateur sécurisé launch.cloud.com

Créer un profil SSL

  1. Accédez à Système > Profils > Profil SSL > Ajouter

    Étape 6.1

  2. Créez le profil en lui donnant un nom, dans cet exemple smesec_swg_sslprofile

    Nom du profil SSL

  3. Cochez la case pour activer l’interception des sessions SSL, puis cliquez sur OK.

    Étape 6.3

  4. Cliquez sur OK pour créer un profil SSL.

  5. Doit installer la paire de clés de certificat

  6. Assurez-vous d’avoir un .pfx format de la paire de clés cert-clef avant. Reportez-vous à l’étape suivante pour obtenir des instructions sur la façon de générer un .pfx fichier à partir des .key fichiers .cert et que vous avez précédemment téléchargés.

Préparer une paire de clés cert-clé

  1. Commencez par installation de l’outil SSL

  2. Ajouter le chemin openssl d’installation aux variables d’environnement système

    Chemin d'accès à l'installation SSL

  3. À partir de PowerShell, exécutez la commande :

    openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

    Capture d'écran PowerShell

Lier un certificat d’autorité de certification d’interception SSL au profil SSL

  1. Accédez à Système > Profils > Profil SSL

  2. Sélectionnez le profil créé précédemment

  3. Clique+Clé de certificat

  4. Cliquez sur Installer

  5. Choisissez le fichier .pfx préparé précédemment

  6. Créez un mot de passe (vous en aurez besoin plus tard)

  7. Cliquez sur Installer

    Étape 8

Liez le profil SSL au serveur virtuel

  1. Accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

    SSL proxy01

  2. Sélectionnez le serveur virtuel, dans cet exemple sslproxy01

  3. Cliquez pour modifier le profil SSL

    Modifier le profil SSL

  4. Choisissez le profil SSL créé précédemment, dans cet exemple smesec_swg_sslprofile

  5. Terminé

Section 5 : Configurer des stratégies et des actions de réécriture

Une stratégie de réécriture consiste en une règle et une action. La règle détermine le trafic sur lequel la réécriture est appliquée et l’action détermine l’action à entreprendre par Citrix ADC. La stratégie de réécriture est nécessaire pour que la redirection d’URL se produise vers Secure Browser en fonction de la catégorie de l’URL saisie dans le navigateur, dans cet exemple « Actualités ».

Référence

Créer une stratégie et une action de réécriture

  1. Accédez à AppExpert > Réécrire > Stratégie

  2. Cliquez sur Ajouter

    Créer une stratégie de réécriture

  3. Créez la stratégie en la nommant, cloud_pol dans cet exemple et utilisez l’expression : HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

  4. Cliquez sur créer

    Créer une stratégie de réécriture

  5. Créer l’action dans PuTTY

  6. Exécutez la commande suivante :

    add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

    Remarque :

    dans la commande remplacez <customername> par votre nom de compte client Citrix Cloud et remplacez par <appname> le nom de l’application publiée Secure Browser pour lequel la stratégie de paramètres d’URL est activée. Se référant à l’application publiée que vous avez créée dans la section 1.

Lier la stratégie de réécriture au serveur virtuel

  1. Retour à la console de gestion ADC

  2. Accédez à AppExpert > Réécrire > Stratégie

  3. Accédez à la stratégie cloud_pol et changez l’action en cloud_act (celle créée précédemment)

    action cloud_act

  4. Pour choisir le type de stratégie de réécriture, accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

  5. Sélectionnez « + Politiques »

  6. Stratégie : Réécrire

  7. Type : Réponse

    Étape 11.2

  8. Sélectionnez la stratégie créée, dans cet exemple cloud_pol

  9. Priorité : 10

  10. Lier

    Étape 11.3

  11. Cliquez sur Terminé

  12. Enregistrer la configuration

Lier la clé de certificat au profil

  1. Accédez à Système > Profils > Profil SSL

  2. Sélectionnez le profil créé, par exemple smesec_swg_sslprofile

  3. Double-cliquez + Clé de certificat

    Étape 12.2

  4. Sélectionnez la clé de certificat, par exemple smesec_cert_overall

    Étape 12.3

  5. Cliquez sur Sélectionner
  6. Cliquez sur Lier
  7. Cliquez sur Terminé
  8. Enregistrer la configuration

Importer le fichier de certificat dans le navigateur

  1. Téléchargez le certificat dans firefox (par exemple avec les sites Web de la catégorie Nouvelles)

  2. Accédez à Options dans votre navigateur de choix, Firefox dans cet exemple

  3. Rechercher « certs » > cliquez sur « Afficher les certificats »

    Étape 13.1

  4. Dans la fenêtre Gestionnaire de certificats, cliquez sur « Importer… »

    Étape 13.2

  5. Recherchez votre certificat et cliquez sur Ouvrir, smesec_cert1.cert dans cet exemple

    Étape 13.3

  6. Saisissez le mot de passe que vous avez créé lors de la création du certificat

  7. Votre autorité de certification doit être installée correctement

    Étape 13.4

Démo

Les sites Web d’actualité du navigateur local sont automatiquement redirigés vers Secure Browser. Voir ce qui suit démo

Résumé

Dans ce guide de PoC, vous avez appris à configurer Citrix ADC dans Azure et à configurer SSL Forward Proxy et SSL Interception. Cette intégration permet la fourniture dynamique de ressources en redirigeant la navigation vers le Secure Browser Service. Ainsi, protéger le réseau de l’entreprise sans sacrifier l’expérience utilisateur.

Guide de preuve de concept : Redirection d’URL vers Secure Browser avec Citrix ADC dans Azure