Caso de uso: Hacer que el acceso a Internet empresarial sea compatible y seguro

El director de seguridad de red en una organización financiera quiere proteger la red empresarial de cualquier amenaza externa proveniente de la web en forma de malware. Para ello, el director necesita obtener visibilidad en el tráfico cifrado que de otro modo se omite y controlar el acceso a sitios web maliciosos. El director debe hacer lo siguiente:

• Intercepte y examine todo el tráfico, incluido SSL/TLS (tráfico cifrado), que entra y sale de la red empresarial.
• Evite la interceptación de solicitudes a sitios web que contengan información confidencial, como información financiera del usuario o correos electrónicos.
• Bloquear el acceso a URL dañinas identificadas como que ofrecen contenido dañino o para adultos.
• Identifique a los usuarios finales (empleados) de la empresa que acceden a sitios web malintencionados y bloquee el acceso a Internet para estos usuarios o bloquee las direcciones URL dañinas.

Para lograr todo lo anterior, el director puede configurar un proxy en todos los dispositivos de la organización y señalarlo a Citrix Secure Web Gateway (SWG), que actúa como servidor proxy en la red. El servidor proxy intercepta todo el tráfico cifrado y no cifrado que pasa a través de la red empresarial. Solicita la autenticación del usuario y asocia el tráfico con un usuario. Se pueden especificar categorías de URL para bloquear el acceso a sitios web Ilegal/Nocivo, Adulto y Malware y SPAM.

Para lograr lo anterior, configure las siguientes entidades:

• Servidor de nombres DNS para resolver nombres de host.
• Dirección IP de subred (SNIP) para establecer una conexión con los servidores de origen. La dirección SNIP debe tener acceso a Internet.
• Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
• Perfil SSL para definir la configuración SSL, como cifrados y parámetros, para las conexiones.
• par de claves de certificado de CA para firmar el certificado de servidor para la intercepción SSL.
• Directiva SSL para definir los sitios web a interceptar y omitir.
• Autenticación del servidor virtual, la directiva y la acción para garantizar que solo los usuarios válidos tengan acceso.
• Appflow Collector para enviar datos a Citrix Application Delivery Management (ADM).

Se enumeran los procedimientos CLI y GUI para esta configuración de ejemplo. Se utilizan los siguientes valores de ejemplo. Reemplácelos con datos válidos para direcciones IP, certificado SSL y clave, y parámetros LDAP.

Uso del asistente de puerta de enlace web segura para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial

Para crear una configuración para interceptar y examinar el tráfico cifrado, además del otro tráfico hacia y desde una red, es necesario configurar la configuración de proxy, la configuración de SSLi, la configuración de autenticación de usuario y la configuración de filtrado de URL. Los siguientes procedimientos incluyen ejemplos de los valores introducidos.

Configurar la dirección de SNIP y el servidor de nombres DNS

1. En un explorador web, escriba la dirección NSIP. Por ejemplo, http://192.0.2.5.

2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador. Aparecerá la siguiente pantalla.

   

3. Haga clic dentro de la sección Dirección IP de subred e introduzca una dirección IP.

   

4. Haga clic en Done.

5. Haga clic dentro de la sección Nombre de host, Dirección IP DNS y Zona horaria e introduzca valores para estos campos.

   

6. Haga clic en Listo y, a continuación, en Continuar.

Configurar la configuración del proxy

1. Desplácese hasta Secure Web Gateway > Asistente para Secure Web Gateway.

2. Haga clic en Comenzar y, a continuación, haga clic en Continuar.

3. En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.

4. En Modo de captura, seleccione Explícito.

5. Introduzca una dirección IP y un número de puerto.

   

6. Haga clic en Continuar.

Configurar la configuración de intercepción SSL

1. Seleccione Habilitar intercepción SSL.

   

2. En Perfil SSL, haga clic en “+” para agregar un nuevo perfil SSL front-end y habilitar la intercepción de sesiones SSLen este perfil.

   

3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

4. En Seleccionar par de claves de certificado de CA de intercepción SSL, haga clic en “+” para instalar un par de claves de certificado de CA para intercepción de SSL.

   

5. Haga clic en Instalar y, a continuación, haga clic en Cerrar.

6. Agregue una directiva para interceptar todo el tráfico. Haga clic en Vincular y, a continuación, haga clic en Agregar.

   

7. Escriba un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.

8. En Acción, seleccione INTERCEPCIÓN.

   

9. Haga clic en Crear y, a continuación, haga clic en Agregar para agregar otra directiva para omitir la información confidencial.

10. Escriba un nombre para la directiva y, en Categorías de URL, haga clic en Agregar.

11. Seleccione las categorías Finanzas y Correo electrónico y muévalas a la lista Configurada.

12. En Acción, seleccione PASIVAR.

    

13. Haga clic en Crear.

14. Seleccione las dos directivas creadas anteriormente y haga clic en Insertar.

    

15. Haga clic en Continuar.

    

Configurar la configuración de autenticación de usuario

1. Seleccione Habilitar autenticación de usuario. En el campo Tipo de autenticación, seleccione LDAP.

   

2. Agregue detalles del servidor LDAP.

   

3. Haga clic en Crear.

4. Haga clic en Continuar.

Configurar opciones de filtrado de URL

1. Seleccione Habilitar categorización de URL y, a continuación, haga clic en Vincular.

   

2. Haga clic en Agregar.

   

3. Introduzca un nombre para la directiva. En Acción, seleccione Denegar. Para Categorías de URL, seleccione Ilegal o nocivo, Adulto y Malware y SPAM, y muévalos a la lista Configurada.

   

4. Haga clic en Crear.

5. Seleccione la directiva y, a continuación, haga clic en Insertar.

   

6. Haga clic en Continuar.

   

7. Haga clic en Continuar.

8. Haga clic en Habilitar análisis.

9. Introduzca la dirección IP de Citrix ADM y, para Port, especifique 5557.

   

10. Haga clic en Continuar.

11. Haga clic en Done.

    

Utilice Citrix ADM para ver métricas clave para los usuarios y determinar lo siguiente:

• Comportamiento de navegación de los usuarios de su empresa.
• Categorías de URL a las que acceden los usuarios de su empresa.
• Exploradores utilizados para acceder a las URL o dominios.

Utilice esta información para determinar si el sistema del usuario está infectado por malware o para comprender el patrón de consumo de ancho de banda del usuario. Puede ajustar las directivas de su dispositivo Citrix SWG para restringir estos usuarios o bloquear algunos sitios web más. Para obtener más información sobre cómo ver las métricas en MAS, consulte el caso de uso “Inspecting Endpoints” en Casos de uso MAS.

Nota

Establezca los siguientes parámetros mediante la CLI.

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Ejemplo CLI

El siguiente ejemplo incluye todos los comandos utilizados para configurar la interceptación y el examen del tráfico hacia y desde la red empresarial.

Configuración general:

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Configuración de autenticación:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
<!--NeedCopy-->

Configuración de servidor proxy e intercepción SSL:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

Configuración de categorías de URL:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
<!--NeedCopy-->

Configuración de AppFlow para extraer datos en Citrix ADM:

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
<!--NeedCopy-->