Gateway

Mise en place du tunnel sécurisé

Lorsque les utilisateurs se connectent via le plug-in Citrix Gateway, Secure Hub ou Citrix Receiver, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Une fois le tunnel établi, Citrix Gateway envoie des informations de configuration au plug-in Citrix Gateway, Secure Hub ou Receiver décrivant les réseaux à sécuriser et contenant une adresse IP si vous activez les pools d’adresses.

Tunnellisation du trafic réseau privé via des connexions sécurisées

Lorsque le plug-in Citrix Gateway démarre et que l’utilisateur est authentifié, tout le trafic réseau destiné aux réseaux privés spécifiés est capturé et redirigé vers Citrix Gateway via le tunnel sécurisé. Receiver doit prendre en charge le plug-in Citrix Gateway pour établir la connexion via le tunnel sécurisé lorsque les utilisateurs ouvrent une session.

Secure Hub, Secure Mail et WorxWeb utilisent Micro VPN pour établir le tunnel sécurisé pour les appareils mobiles iOS et Android.

Citrix Gateway intercepte toutes les connexions réseau établies par la machine utilisateur et les multiplexe via Secure Sockets Layer (SSL) vers Citrix Gateway, où le trafic est démultiplexé et les connexions sont transférées vers la combinaison hôte et port appropriée.

Les connexions sont soumises à des stratégies de sécurité administratives qui s’appliquent à une seule application, à un sous-ensemble d’applications ou à un intranet complet. Vous spécifiez les ressources (plages de paires d’adresses IP/sous-réseaux) auxquelles les utilisateurs distants peuvent accéder via la connexion VPN.

Le plug-in Citrix Gateway intercepte et tunnelle les protocoles suivants pour les applications intranet définies :

  • TCP (tous les ports)
  • UDP (tous les ports)
  • ICMP (types 8 et 0 - demande/réponse d’écho)

Les connexions des applications locales sur la machine utilisateur sont mises en tunnel de manière sécurisée vers Citrix Gateway, ce qui rétablit les connexions au serveur cible. Les serveurs cibles considèrent les connexions comme provenant de Citrix Gateway local sur le réseau privé, masquant ainsi la machine utilisateur. C’est ce qu’on appelle également la traduction d’adresses réseau inversée (NAT). Le masquage des adresses IP renforce la sécurité des emplacements sources.

Localement, sur la machine utilisateur, tout le trafic lié à la connexion, tel que les paquets SYN-ACK, PUSH, ACK et FIN, est recréé par le plug-in Citrix Gateway pour apparaître à partir du serveur privé.

Mise en place du tunnel sécurisé