Activer la collecte de données pour les appliances NetScaler Gateway déployées en mode double saut
Le mode double saut de NetScaler Gateway fournit une protection supplémentaire au réseau interne d’une entreprise, car un attaquant devrait pénétrer plusieurs zones de sécurité ou zones démilitarisées (DMZ) pour atteindre les serveurs du réseau sécurisé.
En tant qu’administrateur, à l’aide de la console NetScaler, vous pouvez analyser :
-
Le nombre de sauts (appliances NetScaler Gateway) par lesquels passent les connexions ICA
-
Les détails sur la latence sur chaque connexion TCP et comment elle se présente contre la latence ICA totale perçue par le client
L’image suivante indique que la console NetScaler et NetScaler Gateway de la première zone démilitarisée sont déployées dans le même sous-réseau.
Le NetScaler Gateway de la première zone démilitarisée gère les connexions des utilisateurs et exécute les fonctions de sécurité d’un VPN SSL. Ce NetScaler Gateway chiffre les connexions utilisateur, détermine la manière dont les utilisateurs sont authentifiés et contrôle l’accès aux serveurs du réseau interne.
Le NetScaler Gateway situé dans la deuxième zone démilitarisée sert de périphérique proxy NetScaler Gateway. Ce NetScaler Gateway permet au trafic ICA de traverser la deuxième zone démilitarisée pour terminer les connexions des utilisateurs au parc de serveurs.
La console NetScaler peut être déployée soit dans le sous-réseau appartenant à l’appliance NetScaler Gateway dans la première zone démilitarisée, soit dans le sous-réseau appartenant à la deuxième zone démilitarisée de l’appliance NetScaler Gateway.
En mode double saut, la console NetScaler collecte les enregistrements TCP d’une appliance et les enregistrements ICA de l’autre appliance. Après avoir ajouté les appliances NetScaler Gateway à l’inventaire de la console NetScaler et activé la collecte de données, chaque appliance exporte les rapports en suivant le nombre de sauts et l’ID de la chaîne de connexion.
Pour que la console NetScaler puisse identifier l’appliance qui exporte des enregistrements, chaque appliance est spécifiée par un nombre de sauts et chaque connexion est spécifiée par un ID de chaîne de connexion. Le nombre de sauts représente le nombre d’appliances NetScaler Gateway via lesquelles le trafic circule d’un client vers les serveurs. L’ID de chaîne de connexion représente les connexions de bout en bout entre le client et le serveur.
La console NetScaler utilise le nombre de sauts et l’ID de chaîne de connexion pour corréler les données des deux appliances NetScaler Gateway et générer les rapports.
Pour surveiller les appliances NetScaler Gateway déployées dans ce mode, vous devez d’abord ajouter NetScaler Gateway à l’inventaire de la console NetScaler, activer AppFlow sur NetScaler Console, puis afficher les rapports sur le tableau de bord de la NetScaler Console.
Activation de la collecte de données sur la console NetScaler
Si vous activez NetScaler Console pour commencer à collecter les informations ICA des deux appliances, les informations collectées sont redondantes. Pour remédier à cette situation, vous devez activer AppFlow pour TCP sur la première appliance NetScaler Gateway, puis activer AppFlow pour ICA sur la seconde appliance. Ce faisant, l’une des appliances exporte les enregistrements ICA AppFlow et l’autre exporte les enregistrements TCP AppFlow. Cela permet également d’économiser le temps de traitement lors de l’analyse du trafic ICA.
Pour activer la fonctionnalité AppFlow depuis la console NetScaler, procédez comme suit :
-
Accédez à Infrastructure > Instances , puis sélectionnez l’instance NetScaler pour laquelle vous souhaitez activer les analyses.
-
Dans la liste Sélectionner une action, sélectionnez Configurer Analytics.
-
Sélectionnez les serveurs virtuels, puis cliquez sur Activer la sécurité et les analyses.
-
Sélectionnez Web Insight
-
Cliquez sur OK.
Configurer les appliances NetScaler Gateway pour exporter des données
Après avoir installé les appliances NetScaler Gateway, vous devez configurer les paramètres suivants sur les appliances NetScaler Gateway pour exporter les rapports vers la console NetScaler :
-
Configurez les serveurs virtuels des appliances NetScaler Gateway dans la première et la deuxième zone démilitarisée pour communiquer entre eux.
-
Liez le serveur virtuel NetScaler Gateway situé dans la deuxième zone démilitarisée au serveur virtuel NetScaler Gateway situé dans la première zone démilitarisée.
-
Activez le double saut sur NetScaler Gateway Gateway dans la deuxième zone démilitarisée.
-
Désactivez l’authentification sur le serveur virtuel NetScaler Gateway dans la deuxième zone démilitarisée.
-
Activer l’une des appliances NetScaler Gateway pour exporter des enregistrements ICA
-
Activez l’autre appliance NetScaler Gateway pour exporter les enregistrements TCP :
-
Activez le chaînage des connexions sur les deux appliances NetScaler Gateway.
Configurez NetScaler Gateway à l’aide de l’interface de ligne de commande :
-
Configurez le serveur virtuel NetScaler Gateway dans la première DMZ pour communiquer avec le serveur virtuel NetScaler Gateway dans la seconde DMZ.
add vpn nextHopServer [**-secure** (ON OFF)] [-imgGifToPng] … add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON <!--NeedCopy-->
-
Liez le serveur virtuel NetScaler Gateway situé dans la deuxième zone démilitarisée au serveur virtuel NetScaler Gateway situé dans la première zone démilitarisée. Exécutez la commande suivante sur NetScaler Gateway dans la première zone démilitarisée :
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1 <!--NeedCopy-->
-
Activez le double saut et AppFlow sur NetScaler Gateway dans la deuxième zone démilitarisée.
set vpn vserver [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED <!--NeedCopy-->
-
Désactivez l’authentification sur le serveur virtuel NetScaler Gateway dans la deuxième zone démilitarisée.
set vpn vserver [**-authentication** (ON OFF)] set vpn vserver vs -authentication OFF <!--NeedCopy-->
-
Activez l’une des appliances NetScaler Gateway pour exporter des enregistrements TCP.
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST <!--NeedCopy-->
-
Activez l’autre appliance NetScaler Gateway pour exporter les enregistrements ICA :
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST <!--NeedCopy-->
-
Activez le chaînage des connexions sur les deux appliances NetScaler Gateway :
set appFlow param [-connectionChaining (ENABLED DISABLED)] set appflow param -connectionChaining ENABLED <!--NeedCopy-->
Configuration de NetScaler Gateway à l’aide de l’utilitaire de configuration :
-
Configurez le NetScaler Gateway dans la première DMZ pour communiquer avec le NetScaler Gateway dans la seconde DMZ et liez le Citrix NetScaler dans la seconde DMZ au NetScaler Gateway dans la première DMZ.
-
Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
-
Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développez Applications publiées.
-
Cliquez sur Next Hop Server et liez un serveur Next Hop à la deuxième appliance NetScaler Gateway.
-
-
Activez le double saut sur NetScaler Gateway Gateway dans la deuxième zone démilitarisée.
-
Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
-
Dans le volet droit, double-cliquez sur le serveur virtuel, puis dans le groupe Paramètres de base , cliquez sur l’icône de modification.
-
Développez Plus , sélectionnez Double Hop et cliquez sur OK .
-
-
Désactivez l’authentification sur le serveur virtuel sur NetScaler Gateway dans la deuxième zone démilitarisée.
-
Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
-
Dans le volet droit, double-cliquez sur le serveur virtuel, puis dans le groupe Paramètres de base , cliquez sur l’icône de modification.
-
Développez Plus , puis désactivez Activer l’authentification .
-
-
Activez l’une des appliances NetScaler Gateway pour exporter des enregistrements TCP.
-
Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
-
Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développez Stratégies.
-
Cliquez sur l’icône + et dans la liste Choisir une stratégie, sélectionnez AppFlow et dans la liste Choisir un type, sélectionnez Autre demande TCP.
-
Cliquez sur Continuer.
-
Ajoutez une obligation de stratégie, puis cliquez sur Fermer .
-
-
Activez l’autre appliance NetScaler Gateway pour exporter les enregistrements ICA :
-
Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
-
Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé , développez Stratégies.
-
Cliquez sur l’icône + et dans la liste Choisir une stratégie, sélectionnez AppFlow et dans la liste Choisir un type, sélectionnez Autre demande TCP.
-
Cliquez sur Continuer.
-
Ajoutez une obligation de stratégie, puis cliquez sur Fermer .
-
-
Activez le chaînage des connexions sur les deux appliances NetScaler Gateway.
-
Sous l’onglet Configuration, accédez à Système > Appflow .
-
Dans le volet droit, dans le groupe Paramètres, cliquez sur Modifier les paramètres Appflow.
-
Sélectionnez Connection Chaining et cliquez sur OK.
-