Análisis avanzado de endpoints

El análisis avanzado de terminales (EPA) se utiliza para analizar los dispositivos de los usuarios en busca de los requisitos de seguridad de terminales configurados en NetScaler Gateway. Si un dispositivo de usuario intenta acceder a NetScaler Gateway, se escanea en busca de información de seguridad, como el sistema operativo, el antivirus, las versiones del explorador web, etc., antes de que un administrador pueda conceder el acceso a NetScaler Gateway.

El análisis EPA avanzado es un análisis basado en directivas que puede configurar en NetScaler Gateway para las sesiones de autenticación. La directiva realiza una comprobación del registro en un dispositivo de usuario y, en función de la evaluación, permite o deniega el acceso a la red NetScaler. Para obtener más información sobre los requisitos del sistema cliente Citrix EPA, consulte Requisitos de Endpoint Analysis.

Puede configurar el escaneo de EPA avanzado mediante la GUI o la CLI.

En la GUI

1. Cree una acción de EPA.

   Vaya a Seguridad > AAA: tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Acciones > EPA y haga clic en Agregar. En la página Crear acción EPA de autenticación, actualice la siguiente información y haga clic en Crear.

   • Nombre: Nombre de la acción de EPA.
   • Grupo predeterminado: El grupo predeterminado que se elige cuando la comprobación de EPA se realiza correctamente.
   • Grupo de cuarentena: El grupo de cuarentena que se elige cuando falla la comprobación de EPA.
   • Detener proceso: Cadena que especifica el nombre de un proceso que el plug-in de EPA debe detener. Los procesos múltiples deben estar separados por comas.
   • Eliminar archivos: Cadena que especifica las rutas y los nombres de los archivos que eliminará el plug-in de EPA. Los archivos múltiples deben estar separados por comas.
   • Expresión: Consulte la Referencia de expresiones de directivas de Advanced Endpoint Analysis para conocer el formato de expresión de EPA.

   

   • Editor de la EPA: seleccione los operadores para el escaneo de la versión del producto.

   

   Nota:

   El cliente Citrix EPA para macOS 24.2.1.5/El cliente Citrix Secure Access para macOS 24.02.1 y versiones posteriores admiten los operadores EPA >, <, >=, <=, == y != en el editor EPA. Además, la opción Mac OS ahora está disponible como una opción independiente en el editor de la EPA (Mac > Mac OS). Anteriormente, el escaneo de la versión del producto macOS tenía que realizarse en Common > Operating System > macOS utilizando solo los operadores == y !=. Asegúrese de utilizar NetScaler Gateway 14.1-12.x o una versión posterior para aprovechar esta funcionalidad.

   Puedes escanear la versión del producto de tus dispositivos macOS en Mac > Mac OS con estos operadores. Por ejemplo, para permitir las versiones del sistema operativo de la 12.4 a la 13.0, excepto la 12.8, configure la expresión sys.client_expr("sys_0_MAC-OS_version_>=_12.4")&&sys.client_expr("sys_0_MAC-OS_version_<=_13.0")&&sys.client_expr("sys_0_MAC-OS_version_!=_12.8") en el editor de la EPA.

2. Cree la directiva de EPA correspondiente.

   Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directivas y haga clic en Agregar. En la página Crear directiva de autenticación, actualice la siguiente información y haga clic en Crear.

   • Nombre: Nombre de la directiva avanzada de EPA.
   • Tipo de acción: Tipo de acción de autenticación.
   • Acción: Nombre de la acción de autenticación que se realizará si la directiva coincide.
   • Expresión: Consulte la Referencia de expresiones de directivas de Advanced Endpoint Analysis para conocer el formato de expresión de EPA.
   • Acción de registro: nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva. La longitud máxima permitida es de 127 caracteres.

   

3. Configure un servidor virtual de autenticación y un perfil de autenticación.

   • Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales de autenticación y haga clic en Agregar.

   

   • Vaya a Seguridad > AAA - Tráfico de aplicaciones > Perfil de autenticación y haga clic en Crear.

   

4. Vincule la directiva de EPA avanzada al servidor virtual de autenticación.

   • Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales de autenticación y seleccione el servidor virtual de autenticación.
   • Seleccione la directiva en la sección Directivas de autenticación avanzadas.
   • Haga clic en Vincular en la sección Vinculación de directivas.

   

5. Vincule la directiva de EPA al flujo de nFactor.

   Para obtener más información sobre cómo agregar una directiva de EPA avanzada como factor al flujo de nFactor, consulte Escaneo de EPA como factor en la autenticación de nFactor.

En la CLI

1. Cree una acción para realizar el escaneo de EPA.

   add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
   <!--NeedCopy-->
   

   La expresión anterior analiza si el proceso ‘Firefox’ se está ejecutando. El plug-in de la EPA comprueba la existencia del proceso cada 2 minutos, lo que significa el dígito “2” en la expresión de escaneo.

2. Asocie la acción de EPA a una directiva avanzada de EPA.

   add authentication Policy EPA-check -rule true -action EPA-client-scan
   <!--NeedCopy-->
   

3. Configure un servidor virtual de autenticación y un perfil de autenticación.

   add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443
   <!--NeedCopy-->
   

   add Authnprofile_EPA -authnVsName authnvsepa
   <!--NeedCopy-->
   

4. Vincule la directiva de EPA avanzada al servidor virtual de autenticación.

   bind authentication vs authnvsepa -policy EPA-check -pr 1
   <!--NeedCopy-->
   

Actualización de bibliotecas EPA

Para utilizar la GUI de NetScaler para actualizar las bibliotecas EPA:

1. Vaya aConfiguración > NetScaler Gateway > Actualizar componentes de cliente.

2. En Actualizar componentes de cliente, haga clic en el enlace Actualizar bibliotecas de EPA.

3. Elija el archivo necesario y haga clic en Actualizar.

Importante:

• En una alta disponibilidad de NetScaler Gateway, las bibliotecas EPA deben actualizarse tanto en el nodo principal como en el secundario.

• En una configuración de clústeres de NetScaler Gateway, las bibliotecas EPA deben actualizarse en todos los nodos del clúster.

Para obtener la lista de aplicaciones compatibles con Windows y MAC por OPSWAT para exploraciones de NetScaler, consulte https://support.citrix.com/article/CTX234466.

Solución de problemas de análisis avanzados de Endpoint Analysis

Para ayudar a solucionar problemas de análisis de análisis avanzado de endpoints, los plug-ins cliente escriben información de registro en un archivo de los sistemas de endpoints cliente. Estos archivos de registro se encuentran en los siguientes directorios, según el sistema operativo del usuario.

Windows Vista, Windows 7, Windows 8, Windows 8.1 y Windows 10:

C:\Usuarios\<nombre_de_usuario>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP:

C:\Documents and Settings\Todos los usuarios\Datos de aplicaciones\Citrix\AGEE\nsepa.txt

Sistemas Mac OS X:

~/Biblioteca/Application Support/Citrix/EPAPlugin/epaplugin.log

(Donde el símbolo ~ indica la ruta del directorio principal del usuario de macOS correspondiente). (Donde el símbolo ~ indica la ruta del directorio principal del usuario de macOS correspondiente).

Ubuntu:

• ~/.citrix/nsepa.txt

• ~/.citrix/nsgcepa.txt