XenMobile

Controle de Acesso da Rede

Você pode estender a avaliação de segurança de dispositivo do XenMobile Server por meio da sua solução NAC (Network Access Control). A sua solução NAC usa a avaliação de segurança do XenMobile para facilitar e manipular decisões de autenticação.

O uso do XenMobile com uma solução NAC adiciona QoS e um controle mais granular sobre dispositivos internos à sua rede. Para obter um resumo das vantagens de integrar NAC ao XenMobile, consulte Controle de acesso.

A Citrix oferece suporte a estas soluções para integração com o XenMobile:

  • Citrix Gateway
  • Cisco Identity Services Engine (ISE)
  • ForeScout

A Citrix não garante integração para outras soluções NAC.

Com um dispositivo NAC em sua rede:

  • O XenMobile oferece suporte a NAC como um recurso de segurança de ponto de extremidade para dispositivos iOS, Android Enterprise e Android.

  • Você pode habilitar filtros no XenMobile para definir dispositivos como compatíveis ou não compatíveis com NAC, com base em regras ou propriedades. Por exemplo:

    • Se um dispositivo gerenciado no XenMobile não atender aos critérios especificados, o XenMobile marcará o dispositivo como não compatível. Um dispositivo NAC bloqueia dispositivos não compatíveis na sua rede.

    • Se um dispositivo gerenciado no XenMobile tiver aplicativos não compatíveis instalados, um filtro NAC poderá bloquear a conexão VPN. Como resultado, um dispositivo de usuário não compatível não pode acessar aplicativos ou sites por meio da VPN.

    • Se você usa o Citrix Gateway para NAC, poderá habilitar o túnel dividido para impedir que o Citrix Gateway Plug-in envie tráfego de rede desnecessário para o Citrix Gateway. Para obter mais informações sobre túnel dividido, consulte Configurar túnel dividido.

Filtros de conformidade com NAC suportados

O XenMobile Server é compatível com os seguintes filtros de conformidade com NAC:

Dispositivos Anônimos: verifica se um dispositivo está no modo anônimo. Essa verificação estará disponível se o XenMobile não conseguir autenticar novamente o usuário quando um dispositivo tentar se reconectar.

Erro de atestado de Samsung Knox: verifica se um dispositivo falhou em uma consulta do servidor de atestado do Samsung Knox.

Aplicativos proibidos: verifica se um dispositivo tem aplicativos proibidos, conforme definido em uma política de dispositivo de Acesso aos Aplicativos. Para obter informações sobre essa política, consulte Políticas de dispositivo de acesso aos aplicativos.

Dispositivos inativos: verifica se um dispositivo está inativo conforme definido pela configuração Limite de Dias de Inatividade do dispositivo em Propriedades do Servidor. Para obter detalhes, consulte Propriedades do servidor.

Aplicativos obrigatórios ausentes: verifica se um dispositivo não tem algum aplicativo obrigatório, conforme definido em uma política de Acesso aos aplicativos.

Aplicativos não sugeridos: verifica se um dispositivo tem aplicativos não sugeridos, conforme definido em uma Política de acesso aos aplicativos.

Senha não compatível: verifica se a senha de usuário está em conformidade. Nos dispositivos Android e iOS, o XenMobile pode determinar se a senha no dispositivo no momento está em conformidade com a política de código secreto enviada para o dispositivo. Por exemplo, no iOS, o usuário tem 60 minutos para definir uma senha se o XenMobile enviar uma política de código secreto para o dispositivo. Antes que o usuário defina a senha, o código secreto pode não estar em conformidade.

Dispositivos sem conformidade: verifica se um dispositivo está fora de conformidade, com base na propriedade de dispositivo Sem Conformidade. Normalmente, ações automatizadas ou terceiros que usam as APIs do XenMobile alteram essa propriedade do dispositivo.

Status revogado: verifica se o certificado do dispositivo está revogado. Um dispositivo revogado não pode se registrar novamente até que tenha autorização novamente.

Dispositivos Android com root e iOS com jailbreak: verifica se um dispositivo Android ou iOS tem root ou jailbreak.

Dispositivos não gerenciados: verifica se o XenMobile está gerenciando um dispositivo. Por exemplo, um dispositivo que está em execução no modo MAM ou um dispositivo não registrado não está gerenciado.

Nota:

O filtro Conformidade/Não conformidade implícita define o valor padrão somente nos dispositivos que o XenMobile está gerenciando. Por exemplo, qualquer dispositivo que tenha um aplicativo na lista de bloqueio instalado ou que não esteja registrado é marcado como Não compatível. O dispositivo NAC bloqueia o dispositivo da sua rede.

Visão geral da configuração

Recomendamos que você configure os componentes NAC na ordem listada. As políticas de dispositivo e os filtros NAC configurados no XenMobile não são impostos até que você configure o dispositivo NAC.

  1. Configurar políticas de dispositivo para suportar NAC:

    Para dispositivos iOS: consulte Configurar a política de dispositivo de VPN para suportar NAC.

    Para dispositivos Android Enterprise: consulte Criar uma configuração gerenciada do Android Enterprise para o Citrix SSO.

    Para dispositivos Android: consulte Configurar o protocolo Citrix SSO para Android.

  2. Ativar filtros NAC no XenMobile.

  3. Configurar uma solução NAC:

Ativar filtros NAC no XenMobile

  1. No console XenMobile, vá para Configurações > Controle de acesso da rede.

    Imagem das configurações de controle de acesso da rede

  2. Marque as caixas de seleção dos filtros Definir como não compatível que você desejar ativar.

  3. Clique em Salvar.

Atualizar políticas do Citrix Gateway para suportar NAC

Você deve configurar políticas avançadas (não clássicas) de autenticação e sessões VPN em seu servidor virtual VPN.

Estas etapas atualizam um Citrix Gateway com uma destas características:

  • Está integrado a um ambiente do XenMobile Server.
  • Ou está configurado para VPN, não faz parte do ambiente do XenMobile Server e pode acessar o XenMobile.

No servidor VPN virtual, em uma janela do console, faça o seguinte. Os endereços IP nos comandos e exemplos são fictícios.

  1. Se você estiver usando políticas clássicas em seu servidor virtual VPN, remova e desvincule todas as políticas clássicas. Para verificar, digite:

    show vpn vserver <VPN_VServer>

    Remova os resultados que contenham a palavra Classic. Por exemplo: VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

    Para remover a política, digite:

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Crie a política de sessão avançada correspondente digitando o seguinte.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Por exemplo: add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Vincule a política ao seu servidor virtual VPN digitando o seguinte.

    bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100

  4. Crie um servidor virtual de autenticação digitando o seguinte.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Por exemplo: add authentication vserver authvs SSL 0.0.0.0 No exemplo, 0.0.0.0 significa que o servidor virtual de autenticação não é público.

  5. Vincule um certificado SSL ao servidor virtual digitando o seguinte.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>

    Por exemplo: bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Associe um perfil de autenticação ao servidor virtual de autenticação a partir do servidor virtual VPN. Primeiro, crie o perfil de autenticação digitando o seguinte.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Por exemplo:

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Associe o perfil de autenticação ao servidor virtual VPN digitando o seguinte.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Por exemplo:

    set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof

  8. Verifique a conexão do Citrix Gateway com um dispositivo digitando o seguinte.

    curl -v -k https://<XenMobile server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Por exemplo, esta consulta verifica a conectividade obtendo o status de conformidade do primeiro dispositivo (deviceid_1) registrado no ambiente:

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Um resultado bem-sucedido é semelhante ao exemplo a seguir.

    HTTP/1.1 200 OK
    < Server: Apache-Coyote/1.1
    < X-Citrix-Device-State: Non Compliant
    < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. Quando a etapa anterior for bem-sucedida, crie a ação de autenticação da Web para o XenMobile. Primeiro, crie uma expressão de política para extrair o ID do dispositivo do plug-in VPN no iOS. Digite o seguinte.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envie a solicitação para o XenMobile digitando o seguinte. Neste exemplo, o IP do XenMobile Server é 10.207.87.82.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.207.87.82:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    O resultado bem-sucedido para XenMobile NAC é HTTP status 200 OK. O cabeçalho X-Citrix-Device-State deve ter o valor de Compliant.

  11. Crie uma política de autenticação com a qual associar a ação digitando o seguinte.

    add authentication Policy <policy name> -rule <rule> -action <web authentication action>

    Por exemplo: add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Converta a política LDAP existente em uma política avançada digitando o seguinte.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>

    Por exemplo: add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Adicione um rótulo de política ao qual associar a política de LDAP digitando o seguinte.

    add authentication policylabel <policy_label_name>

    Por exemplo: add authentication policylabel ldap_pol_label

  14. Associe a política de LDAP ao rótulo de política digitando o seguinte.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Conecte um dispositivo compatível para fazer um teste de NAC para confirmar a autenticação LDAP bem-sucedida. Digite o seguinte.

    bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Adicione a IU para associar ao servidor virtual de autenticação. Digite o seguinte comando para recuperar o ID do dispositivo.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Vincule o servidor virtual de autenticação digitando o seguinte.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Crie uma política de autenticação avançada de LDAP para habilitar a conexão do Secure Hub. Digite o seguinte.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT