Cómo se conectan los usuarios con el cliente Citrix Secure Access
NetScaler Gateway funciona de la siguiente manera:
- Cuando los usuarios intentan acceder a los recursos de la red a través del túnel VPN, el cliente Citrix Secure Access cifra todo el tráfico de red destinado a la red interna de la organización y reenvía los paquetes a NetScaler Gateway.
- NetScaler Gateway finaliza el túnel SSL, acepta cualquier tráfico entrante destinado a la red privada y reenvía el tráfico a la red privada. NetScaler Gateway devuelve el tráfico al equipo remoto a través de un túnel seguro.
Cuando los usuarios escriben la dirección web, reciben una página de inicio de sesión en la que introducen sus credenciales e inician sesión. Si las credenciales son correctas, NetScaler Gateway finaliza el enlace con el dispositivo del usuario.
Si el usuario se conecta a través de un servidor proxy, puede especificar tanto el servidor proxy como las credenciales de autenticación. Para obtener más información, consulte Habilitación de la compatibilidad con proxy para conexiones de usuario.
El cliente Citrix Secure Access está instalado en el dispositivo del usuario. Tras la primera conexión, si los usuarios inician sesión con un equipo basado en Windows, pueden usar el icono del área de notificación para establecer la conexión.
Establezca el túnel seguro
Cuando los usuarios se conectan con el cliente Citrix Secure Access, Secure Hub o la aplicación Citrix Workspace, el software del cliente establece un túnel seguro a través del puerto 443 (o cualquier puerto configurado de NetScaler Gateway) y envía la información de autenticación. Cuando se establece el túnel, NetScaler Gateway envía información de configuración al cliente Citrix Secure Access, Secure Hub o la aplicación Citrix Workspace en la que se describen las redes que se van a proteger y contiene una dirección IP si se habilitan los grupos de direcciones.
Túnel del tráfico de red privada a través de conexiones seguras
Cuando se inicia el cliente Citrix Secure Access y se autentica al usuario, todo el tráfico de red destinado a redes privadas especificadas se captura y se redirige a través del túnel seguro a NetScaler Gateway. La aplicación Citrix Workspace debe admitir que el cliente Citrix Secure Access establezca la conexión a través del túnel seguro cuando los usuarios inicien sesión.
Secure Hub, Secure Mail y WorxWeb utilizan Micro VPN para establecer el túnel seguro para dispositivos móviles iOS y Android.
NetScaler Gateway intercepta todas las conexiones de red que realiza el dispositivo del usuario y las multiplexa a través de Secure Sockets Layer (SSL) a NetScaler Gateway, donde el tráfico se demultiplexa y las conexiones se reenvían a la combinación correcta de host y puerto.
Las conexiones están sujetas a directivas de seguridad administrativas que se aplican a una única aplicación, a un subconjunto de aplicaciones o a toda una intranet. Especifica los recursos (intervalos de pares de direcciones IP/subred) a los que los usuarios remotos pueden acceder a través de la conexión VPN.
El cliente Citrix Secure Access intercepta y canaliza los siguientes protocolos para las aplicaciones de intranet definidas:
- TCP (todos los puertos)
- UDP (todos los puertos)
- ICMP (tipos 8 y 0 - solicitud/respuesta de eco)
Las conexiones de las aplicaciones locales del dispositivo del usuario se tunelizan de forma segura a NetScaler Gateway, que restablece las conexiones con el servidor de destino. Los servidores de destino consideran que las conexiones se originan en el NetScaler Gateway local de la red privada, ocultando así el dispositivo del usuario. Esto también se denomina traducción inversa de direcciones de red (NAT). Ocultar direcciones IP agrega seguridad a las ubicaciones de origen.
A nivel local, en el dispositivo del usuario, el cliente Citrix Secure Access recrea todo el tráfico relacionado con la conexión, como los paquetes SYN-ACK, PUSH, ACK y FIN, para que aparezca en el servidor privado.
Conéctese a través de firewalls y proxies
Los usuarios del cliente Citrix Secure Access a veces se encuentran dentro del firewall de otra organización, como se muestra en la siguiente figura:
Los firewalls NAT mantienen una tabla que les permite redirigir paquetes seguros desde NetScaler Gateway de vuelta al dispositivo del usuario. Para las conexiones orientadas a circuitos, NetScaler Gateway mantiene una tabla de traducción NAT inversa asignada a puertos. La tabla de traducción NAT inversa permite a NetScaler Gateway hacer coincidir las conexiones y enviar paquetes de vuelta por el túnel al dispositivo de usuario con los números de puerto correctos para que los paquetes regresen a la aplicación correcta.
Controle la actualización de los clientes de Citrix Secure Access
Los administradores del sistema controlan el rendimiento del plug-in de NetScaler cuando su versión no coincide con la revisión de NetScaler Gateway. Las nuevas opciones controlan el comportamiento de actualización de plug-ins para Mac y Windows o sistemas operativos.
En el caso de los plug-ins VPN, la opción de actualización se puede establecer en dos lugares de la interfaz de usuario del dispositivo NetScaler:
- En la configuración global
- En el nivel de perfil de sesión
Requisitos
-
La versión del complemento VPN y EPA de Windows debe ser superior a 11.0.0.0
-
La versión del complemento EPA para Mac debe ser superior a 3.0.0.31
-
La versión del complemento VPN para Mac debe ser superior a la 3.1.4 (357)
Nota:
Si el dispositivo NetScaler se actualiza a la versión 11.0, todos los plug-ins VPN (y EPA) anteriores se actualizan a la última versión, independientemente de la configuración del control de actualizaciones. Para las actualizaciones posteriores, respetan la configuración de control de actualización anterior.
Comportamientos de plug-ins
Para cada tipo de cliente, NetScaler Gateway permite las tres opciones siguientes para controlar el comportamiento de actualización de plug-ins:
- Siempre
El complemento siempre se actualiza cuando la versión del complemento del usuario final no coincide con el complemento suministrado con el dispositivo NetScaler. Este es el comportamiento predeterminado. Elija esta opción si no quiere que se ejecuten varias versiones de plug-ins en su empresa.
- Esencial (y seguridad)
El plug-in solo se actualiza cuando se considera necesario. Los ascensos de clase se consideran necesarios en las dos circunstancias siguientes:
-
El complemento instalado no es compatible con la versión actual del dispositivo NetScaler.
-
El complemento instalado debe actualizarse para obtener la solución de seguridad necesaria.
Elija esta opción si quiere minimizar el número de actualizaciones de plug-ins, pero no quiere perderse ninguna actualización de seguridad de plug-ins
- Nunca
El plug-in no se actualiza.
Parámetros CLI para controlar la actualización de plug-ins VPN
NetScaler Gateway admite dos tipos de complementos (EPA y VPN) para sistemas operativos Windows y Mac. Para admitir el control de actualización de plug-ins VPN a nivel de sesión, NetScaler Gateway admite dos parámetros de perfil de sesión denominados WindowsInPluginUpgrade y MacPluginUpgrade.
Estos parámetros están disponibles a nivel global, servidor virtual, grupo y usuario. Cada parámetro puede tener el valor Always, Essential o Never. Para obtener una descripción de estos parámetros, consulte Comportamientos de plug-ins.
Parámetros CLI para controlar la actualización de plug-ins de EPA
NetScaler Gateway admite complementos EPA para sistemas operativos Windows y Mac. Para admitir el control de actualización de plug-ins de EPA a nivel de servidor virtual, NetScaler Gateway admite dos parámetros de servidor virtual denominados windowsEPAPluginUpgrade y macEPAPluginUpgrade.
Los parámetros están disponibles en el nivel del servidor virtual. Cada parámetro puede tener el valor Always, Essential o Never. Para obtener una descripción de estos parámetros, consulte Comportamientos de plug-in
Configuración VPN
Siga estos pasos para configurar la VPN de los complementos de Windows, Linux y Mac.
-
Vaya a NetScaler > Directivas > Sesión.
-
Seleccione la directiva de sesión deseada y, a continuación, haga clic en Modificar.
-
Seleccione la ficha Experiencia del cliente.
-
Estas opciones de cuadros de diálogo afectan al comportamiento de actualización.
- Siempre
- Esencial
- Nunca
El valor predeterminado es Siempre.
-
Seleccione la casilla de verificación situada a la derecha de cada opción. Seleccione la frecuencia para aplicar el comportamiento de actualización.
Configuración de la EPA
Siga estos pasos para la configuración de la EPA de los complementos de Windows, Linux y Apple.
-
Vaya a NetScaler Gateway > Servidores virtuales.
-
Seleccione un servidor y haga clic en el botón Modificar.
-
Haga clic en el icono del lápiz.
-
Haga clic en Más
-
Los cuadros de diálogo que aparecen afectan al comportamiento de la actualización. Las opciones disponibles son:
- Siempre
- Esencial
- Nunca