Citrix Secure Web Gateway

ユースケース:企業のインターネットアクセスをコンプライアンスとセキュリティで保護する

金融組織のネットワークセキュリティのディレクターは、マルウェアの形でWebから来る外部の脅威から企業ネットワークを保護したいと考えています。これを行うには、ディレクタは、そうでなければ暗号化されたトラフィックをバイパスし、悪意のある Web サイトへのアクセスを制御することを可視化する必要があります。ディレクタは、次のことを行う必要があります。

  • 企業ネットワークに出入りする SSL/TLS(暗号化されたトラフィック)を含むすべてのトラフィックを傍受し、調べます。
  • ユーザーの財務情報や電子メールなどの機密情報を含むウェブサイトへのリクエストの傍受をバイパスします。
  • 有害またはアダルトコンテンツを提供していると識別された有害な URL へのアクセスをブロックします。
  • 悪意のある Web サイトにアクセスしている企業内のエンドユーザー (従業員) を特定し、これらのユーザーのインターネットアクセスをブロックするか、有害な URL をブロックします。

上記のすべてを実現するために、director は組織内のすべてのデバイスにプロキシを設定し、Citrix Secure Web Gateway(SWG)を指します。SWG(これはネットワーク内のプロキシサーバーとして機能します)。プロキシサーバは、企業ネットワークを通過する暗号化および暗号化されていないすべてのトラフィックを代行受信します。ユーザ認証を要求し、トラフィックをユーザに関連付けます。URL カテゴリを指定して、違法/有害、アダルトサイト、マルウェアおよびスパム Web サイトへのアクセスをブロックすることができます。

上記を実現するには、次のエンティティを設定します。

  • DNS ネームサーバーを使用してホスト名を解決します。
  • サブネット IP (SNIP) アドレスを使用して、オリジナルサーバーとの接続を確立します。SNIP アドレスはインターネットにアクセスできる必要があります。
  • エクスプリシットモードのプロキシサーバで、すべてのアウトバウンド HTTP および HTTPS トラフィックを代行受信します。
  • SSL プロファイルを使用して、接続の SSL 設定(暗号やパラメータなど)を定義します。
  • SSLインターセプション用のサーバ証明書に署名するための CA 証明書とキーのペア。
  • SSL ポリシーを使用して、傍受およびバイパスする Web サイトを定義します。
  • 仮想サーバ、ポリシー、およびアクションを認証し、有効なユーザのみにアクセスを許可します。
  • Appflowコレクタを使用して、Citrix Application Delivery Management(ADM)にデータを送信します。

この設定例では、CLI と GUI の両方の手順がリストされています。次のサンプル値が使用されます。IP アドレス、SSL 証明書とキー、および LDAP パラメータの有効なデータに置き換えます。

名前 サンプル設定で使用される値
NSIPアドレス 192.0.2.5
サブネット IP アドレス 51.100.5
LDAP 仮想サーバの IP アドレス 192.0.2.116
DNS ネームサーバの IP アドレス 203.0.113.2
プロキシサーバー IP アドレス 192.0.2.100
MAS IP アドレス 192.0.2.41
SSLインターセプション用の CA 証明書 ns-swg-ca-certkey (certificate: ns_swg_ca.crt and key: ns_swg_ca.key)
LDAPベースDN CN=Users,DC=CTXNSSFB,DC=COM
LDAP バインド DN CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM
LDAP バインド DN パスワード zzzzz

セキュア Web Gateway ウィザードを使用して、企業ネットワークとの間で送受信されるトラフィックの代行受信と検査を設定します

ネットワークとの間で送受信される他のトラフィックに加えて、暗号化されたトラフィックを傍受および検査するための設定を作成するには、プロキシ設定、SSLi 設定、ユーザ認証設定、および URL フィルタリング設定を構成する必要があります。次に、入力した値の例を示します。

SNIP アドレスと DNS ネームサーバの構成

  1. Webブラウザで、NSIPアドレスを入力します。たとえば、http://192.0.2.5のようになります。

  2. ユーザー名パスワード に、管理者の資格情報を入力します。次の画面が開きます。

    ローカライズされた画像

  3. サブネット IP アドレス ] セクション内をクリックし、IP アドレスを入力します。

    ローカライズされた画像

  4. [完了] をクリックします。

  5. ホスト名]、[DNS IP アドレス]、[タイムゾーン ] セクションをクリックし、これらのフィールドに値を入力します。

    ローカライズされた画像

  6. 完了 をクリックし、続行 をクリックします。

プロキシ設定を構成する

  1. Secure Web Gateway 」>「 Secure Web Gateway ウィザード 」に移動します。

  2. [は じめに をクリックし、続行 をクリックします。

  3. プロキシ設定 ダイアログボックスで、明示的なプロキシサーバーの名前を入力します。

  4. キャプチャモード] で、 明示的 を選択します。

  5. IP アドレスとポート番号を入力します。

    ローカライズされた画像

  6. [続行] をクリックします。

SSLインターセプション設定の構成

  1. SSL 代行受信を有効にする」を選択します。

    ローカライズされた画像

  2. SSL プロファイル で [+] をクリックして、新しいフロントエンド SSL プロファイルを追加し、このプロファイルで SSL セッション代行受信を有効にします。

    ローカライズされた画像

  3. OK をクリックし、完了 をクリックします。

  4. SSL 代行受信 CA 証明書とキーペアの選択 で、[+] をクリックして、SSL 代行受信用の CA 証明書とキーペアをインストールします。

    ローカライズされた画像

  5. インストール をクリックし、閉じる をクリックします。

  6. すべてのトラフィックを代行受信するポリシーを追加します。バインド をクリックし、追加 をクリックします。

    ローカライズされた画像

  7. ポリシーの名前を入力し、詳細設定 を選択します。式エディタで true と入力します。

  8. アクション で、インターセプト を選択します。

    ローカライズされた画像

  9. Create をクリックし、Add をクリックして、機密情報をバイパスする別のポリシーを追加します。

  10. ポリシーの名前を入力し、URL カテゴリ追加 をクリックします。

  11. 財務 」および「 電子メール 」カテゴリを選択し、「 構成済み 」リストに移動します。

  12. アクションBYPASS を選択します。

    ローカライズされた画像

  13. [作成] をクリックします。

  14. 前に作成した 2 つのポリシーを選択し、Insert をクリックします。

    ローカライズされた画像

  15. [続行] をクリックします。

    ローカライズされた画像

ユーザー認証設定の構成

  1. ユーザー認証を有効にするを選択します。認証タイプ フィールドで、LDAP を選択します。

    ローカライズされた画像

  2. LDAP サーバの詳細を追加します。

    ローカライズされた画像

  3. [作成] をクリックします。

  4. [続行] をクリックします。

URL フィルタリング設定の構成

  1. URL の分類を有効にする] を選択し、 バインド をクリックします。

    ローカライズされた画像

  2. [追加] をクリックします。

    ローカライズされた画像

  3. ポリシーの名前を入力します。アクション で、拒否 を選択します。URL カテゴリ で、不正/有害アダルトマルウェアとスパム を選択し、構成済み リストに移動します。

    ローカライズされた画像

  4. [作成] をクリックします。

  5. ポリシーを選択し、Insert をクリックします。

    ローカライズされた画像

  6. [続行] をクリックします。

    ローカライズされた画像

  7. [続行] をクリックします。

  8. アナリティクスの有効化 をクリックします。

  9. Citrix ADMのIPアドレスを入力し、ポートに5557と指定します。

    ローカライズされた画像

  10. [続行] をクリックします。

  11. [完了] をクリックします。

    ローカライズされた画像

Citrix ADMを使用して、ユーザーの主要なメトリックを表示し、次の項目を決定します。

  • 企業内のユーザーのブラウズの動作。
  • 社内ユーザーがアクセスしたURLカテゴリ。
  • URLまたはドメインへのアクセスに使用されたWebブラウザー。

この情報を使用して、ユーザーのシステムがマルウェアに感染しているかどうかを判断するか、ユーザーの帯域幅消費パターンを理解します。Citrix SWGアプライアンスのポリシーを微調整して、これらのユーザーを制限したり、さらに一部のウェブサイトをブロックしたりできます。MAS でのメトリックスの表示の詳細については、MASの使用例の「エンドポイントの検査」ユースケースを参照してください。

CLI を使用して、次のパラメータを設定します。

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED

CLI の例

次に、企業ネットワークとの間で送受信されるトラフィックのインターセプションと検査を設定するために使用されるすべてのコマンドの例を示します。

一般的な構成

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED

認証の設定:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1

プロキシサーバと SSLインターセプションの設定

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

URL カテゴリの設定:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ

Citrix ADMにデータをプルするためのAppFlow構成

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
ユースケース:企業のインターネットアクセスをコンプライアンスとセキュリティで保護する