Documentación de productos
Servicio NetScaler Console
Ver PDF

Habilitar la recopilación de datos para dispositivos NetScaler Gateway implementados en modo de salto doble

March 6, 2024
Contribución de: 
C

El modo de doble salto de NetScaler Gateway proporciona protección adicional a una red interna de la organización, ya que un atacante tendría que penetrar en varias zonas de seguridad o zonas desmilitarizadas (DMZ) para llegar a los servidores de la red segura.

Como administrador, con NetScaler Console, puede analizar:

  • El número de saltos (dispositivos NetScaler Gateway) a través de los cuales pasan las conexiones ICA

  • Los detalles sobre la latencia en cada conexión TCP y cómo se ferias frente a la latencia ICA total percibida por el cliente

La siguiente imagen indica que NetScaler Console y NetScaler Gateway de la primera DMZ están implementados en la misma subred.

Doble salto

NetScaler Gateway en la primera DMZ maneja las conexiones de usuario y realiza las funciones de seguridad de una VPN SSL. Este NetScaler Gateway cifra las conexiones de los usuarios, determina cómo se autentican los usuarios y controla el acceso a los servidores de la red interna.

NetScaler Gateway en la segunda DMZ sirve como dispositivo proxy de NetScaler Gateway. Este NetScaler Gateway permite que el tráfico ICA atraviese la segunda DMZ para completar las conexiones de usuario a la comunidad de servidores.

La consola NetScaler se puede implementar en la subred que pertenece al dispositivo NetScaler Gateway en la primera DMZ o en la subred que pertenece a la segunda DMZ del dispositivo NetScaler Gateway.

En el modo de doble salto, NetScaler Console recopila los registros TCP de un dispositivo y los registros ICA del otro dispositivo. Después de agregar los dispositivos NetScaler Gateway al inventario de NetScaler Console y habilitar la recopilación de datos, cada dispositivo exporta los informes realizando un seguimiento del recuento de saltos y el ID de la cadena de conexión.

Para que NetScaler Console identifique qué dispositivo está exportando registros, cada dispositivo se especifica con un recuento de saltos y cada conexión se especifica con un identificador de cadena de conexiones. El recuento de saltos representa la cantidad de dispositivos NetScaler Gateway a través de los cuales fluye el tráfico desde un cliente a los servidores. El ID de cadena de conexión representa las conexiones de extremo a extremo entre el cliente y el servidor.

NetScaler Console utiliza el recuento de saltos y el ID de la cadena de conexiones para correlacionar los datos de los dos dispositivos NetScaler Gateway y generar los informes.

Para supervisar los dispositivos NetScaler Gateway implementados en este modo, primero debe agregar NetScaler Gateway al inventario de NetScaler Console, habilitar AppFlow en NetScaler Console y, a continuación, ver los informes en el panel de control de NetScaler Console.

Habilitar la recopilación de datos en NetScaler Console

Si habilita NetScaler Console para empezar a recopilar los detalles ICA de ambos dispositivos, los detalles recopilados son redundantes. Para superar esta situación, debe habilitar AppFlow para TCP en el primer dispositivo NetScaler Gateway y, a continuación, habilitar AppFlow para ICA en el segundo dispositivo. Al hacerlo, uno de los dispositivos exporta registros ICA AppFlow y el otro dispositivo exporta registros TCP AppFlow. Esto también ahorra tiempo de procesamiento al analizar el tráfico ICA.

Para habilitar la función AppFlow desde NetScaler Console:

  1. Vaya a Infraestructura > Instancias y seleccione la instancia de NetScaler en la que desea habilitar el análisis.

  2. En la lista Seleccionar acción, seleccione Configurar análisis.

  3. Seleccione los servidores virtuales y haga clic en Habilitar seguridad y análisis.

  4. Seleccione Web Insight

  5. Haga clic en Aceptar.

Configurar los dispositivos de NetScaler Gateway para exportar datos

Tras instalar los dispositivos NetScaler Gateway, debe configurar los siguientes ajustes en los dispositivos NetScaler Gateway para exportar los informes a NetScaler Console:

  • Configure los servidores virtuales de los dispositivos NetScaler Gateway en la primera y la segunda DMZ para que se comuniquen entre sí.

  • Enlace el servidor virtual NetScaler Gateway de la segunda DMZ al servidor virtual NetScaler Gateway de la primera DMZ.

  • Habilite el salto doble en NetScaler Gateway en la segunda DMZ.

  • Inhabilite la autenticación en el servidor virtual de NetScaler Gateway en la segunda DMZ.

  • Habilite uno de los dispositivos NetScaler Gateway para exportar registros ICA

  • Habilite el otro dispositivo NetScaler Gateway para exportar registros TCP:

  • Habilite el encadenamiento de conexiones en ambos dispositivos NetScaler Gateway.

Configure NetScaler Gateway mediante la interfaz de línea de comandos:

  1. Configure el servidor virtual de NetScaler Gateway en la primera DMZ para comunicarse con el servidor virtual de NetScaler Gateway en la segunda DMZ.

    add vpn nextHopServer [**-secure** (ON OFF)] [-imgGifToPng] … 
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
<!--NeedCopy-->

  2. Enlace el servidor virtual NetScaler Gateway de la segunda DMZ al servidor virtual NetScaler Gateway de la primera DMZ. Ejecute el siguiente comando en NetScaler Gateway en la primera DMZ:

    vincular vservervpn\ -NextHopServer <name\ >\ <name\ >

    bind vpn vserver vs1 -nextHopServer nh1
<!--NeedCopy-->

  3. Habilite el salto doble y AppFlow en NetScaler Gateway en la segunda DMZ.

    configurar vpn vserver\ <name\ >\ [ - DoubleHop (HABILITADO) DISABLED )] [- appflowLog ( ENABLED DISABLED )] 
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
<!--NeedCopy-->

  4. Inhabilite la autenticación en el servidor virtual de NetScaler Gateway en la segunda DMZ.

    configurar vpn vserver\ <name\ >\ [ -autentificación (ACTIVADA) OFF)] 
    set vpn vserver vs -authentication OFF
<!--NeedCopy-->

  5. Habilite uno de los dispositivos NetScaler Gateway para exportar registros TCP.

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
<!--NeedCopy-->

  6. Habilite el otro dispositivo NetScaler Gateway para exportar registros ICA:

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
<!--NeedCopy-->

  7. Habilite el encadenamiento de conexiones en ambos dispositivos NetScaler Gateway:

    establecer el parámetroAppFlow [ -ConnectionChaining (ENABLED) DISABLED)] 
    set appflow param -connectionChaining ENABLED
<!--NeedCopy-->

Configuración de NetScaler Gateway mediante la utilidad de configuración:

  1. Configure NetScaler Gateway en la primera DMZ para comunicarse con NetScaler Gateway en la segunda DMZ y enlazar NetScaler Gateway en la segunda DMZ a NetScaler Gateway en la primera DMZ.

    1. En la ficha Configuración, expanda NetScaler Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expanda Aplicaciones publicadas .

    3. Haga clic en Servidor de salto siguiente y enlace un servidor de salto siguiente al segundo dispositivo NetScaler Gateway.

  2. Habilite el salto doble en NetScaler Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda NetScaler Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Expanda Más, seleccione Doble salto y haga clic en Aceptar.

  3. Inhabilite la autenticación en el servidor virtual de NetScaler Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda NetScaler Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Amplíe más y desactive Habilitar autenticación .

  4. Habilite uno de los dispositivos NetScaler Gateway para exportar registros TCP.

    1. En la ficha Configuración, expanda NetScaler Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expanda Directivas.

    3. Haga clic en el icono + y, en la lista Elegir directiva, seleccione AppFlow y, en la lista Elegir tipo, seleccione Otra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar .

  5. Habilite el otro dispositivo NetScaler Gateway para exportar registros ICA:

    1. En la ficha Configuración, expanda NetScaler Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expanda Directivas.

    3. Haga clic en el icono + y, en la lista Elegir directiva, seleccione AppFlow y, en la lista Elegir tipo, seleccione Otra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar .

  6. Habilite el encadenamiento de conexiones en ambos dispositivos NetScaler Gateway.

    1. En la ficha Configuración, vaya a Sistema > Appflow.

    2. En el panel derecho, en el grupo Configuración, haga clic en Cambiar la configuración de Appflow.

    3. Seleccione Conexión encadenamiento y haga clic en Aceptar.

Habilitar la recopilación de datos para dispositivos NetScaler Gateway implementados en modo de salto doble
March 6, 2024
Contribución de: 
C
March 6, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.