Citrix Application Delivery Managementサービス

ダブルホップモードで展開されたCitrix ADC Gatewayアプライアンスのデータ収集を有効にする

Citrix ADC Gatewayのダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装ゾーン(DMZ)を侵入して安全なネットワーク内のサーバーに到達する必要があるため、組織の内部ネットワークをさらに保護します。

管理者は、Citrix ADMを使用して、次のデータを分析できます。

  • ICA接続が通過するホップ数(Citrix ADCゲートウェイアプライアンス)

  • 各TCP接続のレイテンシーと、クライアントが認識する合計ICA遅延に対してそれがどのようにフェアされるかの詳細

次の図は、最初のDMZのCitrix ADMとCitrix ADCゲートウェイが同じサブネットに展開されていることを示しています。

ダブルホップ

最初のDMZのCitrix ADC Gatewayは、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このCitrix ADC Gatewayは、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワークのサーバーへのアクセスを制御します。

2つ目のDMZのCitrix ADC Gatewayは、Citrix ADC ゲートウェイプロキシデバイスとして機能します。このCitrix ADC Gatewayを使用すると、ICAトラフィックが2番目のDMZを通過してサーバーファームへのユーザー接続を完了できます。

Citrix ADMは、最初のDMZのCitrix ADCゲートウェイアプライアンスに属するサブネット、またはCitrix ADCゲートウェイアプライアンスの2番目のDMZに属するサブネットのいずれかに展開できます。

ダブルホップモードでは、Citrix ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。Citrix ADC GatewayアプライアンスをCitrix ADMインベントリに追加してデータ収集を有効にすると、各アプライアンスはホップカウントと接続チェーンIDを追跡してレポートをエクスポートします。

Citrix ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップカウントは、クライアントからサーバーへのトラフィックが流れるCitrix ADC Gatewayアプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。

Citrix ADMは、ホップカウントと接続チェーンIDを使用して、Citrix ADC Gatewayアプライアンスのデータを相互に関連付け、レポートを生成します。

このモードで展開されているCitrix ADC Gatewayアプライアンスを監視するには、まずCitrix ADCゲートウェイをCitrix ADMインベントリに追加し、Citrix ADMでAppFlow を有効にして、Citrix ADMダッシュボードでレポートを表示する必要があります。

Citrix ADM でのデータ収集の有効化

両方のアプライアンスからICA詳細の収集を開始するようにCitrix ADM を有効にすると、収集された詳細情報は冗長になります。この状況を克服するには、最初のCitrix ADC Gatewayアプライアンスで AppFlow for ICAを有効にし、次に2番目のアプライアンスで AppFlow for TCPを有効にする必要があります。これにより、一方のアプライアンスがICA AppFlow レコードをエクスポートし、もう一方のアプライアンスがTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。

Citrix ADM からAppFlow 機能を有効にするには:

  1. インフラストラクチャ ]>[ インスタンス]に移動し、分析を有効にするCitrix ADC インスタンスを選択します。

  2. アクション 」リストから「 Insightの有効化/無効化」を選択します。

  3. VPN 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  4. AppFlow を有効にする 」フィールドに「 true」と入力し、ICAトラフィック用の ICA/TCP 、TCPトラフィック用のICA/TCP をそれぞれ選択します。

    注:

    Citrix ADC アプライアンスの各サービスまたはサービスグループでAppFlow ログが有効になっていない場合、[インサイト]列に[有効]と表示されていても、Citrix ADM ダッシュボードにレコードが表示されません。

  5. [OK] をクリックします。

    ダブルホップ

データをエクスポートするようにCitrix ADCゲートウェイアプライアンスを構成する

Citrix ADC Gatewayアプライアンスをインストールした後、Citrix ADCゲートウェイアプライアンスで次の設定を構成して、レポートをCitrix ADMにエクスポートする必要があります。

  • 最初のDMZと2番目のDMZのCitrix ADC Gatewayアプライアンスの仮想サーバーを相互に通信するように構成します。

  • 2番目のDMZのCitrix ADC Gateway仮想サーバーを、最初のDMZのCitrix ADC Gateway仮想サーバーにバインドします。

  • 2番目のDMZのCitrix ADC Gatewayでダブルホップを有効にします。

  • 2番目のDMZのCitrix ADC Gateway仮想サーバーでの認証を無効にします。

  • いずれかのCitrix ADCゲートウェイアプライアンスでICAレコードをエクスポートできるようにする

  • 他のCitrix ADCゲートウェイアプライアンスを有効にして、TCPレコードをエクスポートします。

  • 両方のCitrix ADC Gatewayアプライアンスで、接続チェーンを有効にします。

コマンドラインインターフェイスを使用してCitrix ADC Gatewayを構成します。

  1. 最初のDMZのCitrix ADC Gateway仮想サーバーを構成して、2番目のDMZのCitrix ADC Gateway仮想サーバーと通信します。

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    <!--NeedCopy-->
    
  2. 2番目のDMZのCitrix ADC Gateway仮想サーバーを、最初のDMZのCitrix ADC Gateway仮想サーバーにバインドします。最初のDMZのCitrix ADC Gatewayで次のコマンドを実行します。

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    <!--NeedCopy-->
    
  3. 2番目のDMZのCitrix ADC GatewayでダブルホップとAppFlow を有効にします。

    set vpn vserver <name> [- doubleHop ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    <!--NeedCopy-->
    
  4. 2番目のDMZのCitrix ADC Gateway仮想サーバーでの認証を無効にします。

    VPNサーバを設定する<name> [-認証 (オン)|OFF)]

    set vpn vserver vs -authentication OFF
    <!--NeedCopy-->
    
  5. いずれかのCitrix ADCゲートウェイアプライアンスでTCPレコードをエクスポートできるようにします。

    bind vpn vserver<name> [-policy **<string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    <!--NeedCopy-->
    
  6. 他のCitrix ADC GatewayアプライアンスでICAレコードをエクスポートできるようにします。

    bind vpn vserver<name> [-policy **<string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    <!--NeedCopy-->
    
  7. Citrix ADC Gatewayアプライアンスの両方の接続チェーンを有効にします。

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    <!--NeedCopy-->
    

構成ユーティリティを使用したCitrix ADC Gatewayの構成:

  1. 最初のDMZのCitrix ADC Gatewayを構成して、2番目のDMZのCitrix ADC Gatewayと通信し、2番目のDMZのCitrix ADCゲートウェイを最初のDMZのCitrix ADC Gatewayにバインドします。

    1. 構成 ]タブで [Citrix ADCゲートウェイ] を展開し、[ 仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ 公開アプリケーション] を展開します。

    3. ネクストホップサーバー ]をクリックし、ネクストホップサーバーを2番目のCitrix ADC Gatewayアプライアンスにバインドします。

  2. 2番目のDMZのCitrix ADC Gatewayでダブルホップを有効にします。

    1. 構成 ]タブで [Citrix ADCゲートウェイ] を展開し、[ 仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[ 基本設定 ] グループの [編集] アイコンをクリックします。

    3. [ 詳細 ] を展開し、[ ダブルホップ ] を選択して [ OK] をクリックします。

  3. 2つ目のDMZのCitrix ADC Gateway上の仮想サーバーでの認証を無効にします。

    1. 構成 ]タブで [Citrix ADCゲートウェイ] を展開し、[ 仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[ 基本設定 ] グループの [編集] アイコンをクリックします。

    3. [ 詳細] を展開し、[ 認証を有効にする] をオフにします。

  4. いずれかのCitrix ADCゲートウェイアプライアンスでTCPレコードをエクスポートできるようにします。

    1. 構成 ]タブで [Citrix ADCゲートウェイ] を展開し、[ 仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. [+]アイコンをクリックし、[ ポリシーの選択 ]リストから[ AppFlow ]を選択し、[ タイプの選択 ]リストから[ その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーバインドを追加し、[ Close] をクリックします。

  5. 他のCitrix ADC GatewayアプライアンスでICAレコードをエクスポートできるようにします。

    1. 構成 ]タブで [Citrix ADCゲートウェイ] を展開し、[ 仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[ 詳細設定 ] グループで [ ポリシー] を展開します。

    3. [+]アイコンをクリックし、[ ポリシーの選択 ]リストから[ AppFlow ]を選択し、[ タイプの選択 ]リストから[ その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーバインドを追加し、[ Close] をクリックします。

  6. 両方のCitrix ADC Gatewayアプライアンスで、接続チェーンを有効にします。

    1. [ 構成 ] タブで、[ システム ] > [ Appflow] に移動します。

    2. 右側のウィンドウの [ 設定 ] で、[ Appflow 設定の変更] をクリックします。

    3. 接続チェーン 」を選択し、 「OK」をクリックします。

ダブルホップモードで展開されたCitrix ADC Gatewayアプライアンスのデータ収集を有効にする